Skandinavien ist mittlerweile schon zum klassischen Vorbild für alle möglichen gesellschaftlichen Entwicklungen in der westlichen Welt geworden. Sei es die über Jahrzehnte erfolgreiche pragmatische Bildungspolitik, sei es die Verbindung von erfolgreicher Ökonomie und sozialem Ausgleich, seien es diverse Entwicklungen auch in der IT. Wie eine Studie von Vanson Bourne im Auftrag des Security-Anbieters Gemalto zeigt, tun sich momentan skandinavische CIOs mit Sichtweisen auf die IT-Sicherheit hervor, die im internationalen Vergleich auffallen.
Foto: Gemalto
Es sind durchaus grundsätzliche Fragen, denen die auf einer Befragung von 100 IT-Chefs aus den USA, Deutschland, Frankreich, Großbritannien und Skandinavien basierende Studie nachspürt. Dabei geht es etwa um die Hoheit über IT-Sicherheit im Unternehmen, um die mobile Herausforderung einschließlich Bring Your Own Device (BYOD) und das ausreichende Maß an notwendiger Authentifizierung. Die Befragten aus dem hohen Norden tun sich in zweifacher Hinsicht hervor: erstens durch das starke Ausmaß, in dem sie die IT-Sicherheit den einzelnen Endanwendern überlassen wollen, und zweitens dadurch, dass sie IT-Sicherheit und Nutzerfreundlichkeit fast gleich stark gewichten.
Wer die Verantwortung trägt
International sagen 48 Prozent der Befragten, dass in erster Linie der CIO für das Management der IT-Security verantwortlich ist. Ein Fünftel nennt den CEO. 13 Prozent führen die Endanwender an, 8 Prozent den CFO. „Es ist wenig überraschend, dass in großen Firmen mit besonders hoher Wahrscheinlichkeit der CIO die Sicherheit kontrolliert, während in kleineren Firmen der CEO die Hand darauf hat“, heißt es in der Studie.
Signifikanter sind da schon die regionalen Unterschiede. In Frankreich etwa liegt die Verantwortung zu 70 Prozent beim CIO. In Skandinavien ist das hingegen nur zu 24 Prozent der Fall. Dafür sagen 22 Prozent der Befragten, dass sich die Endanwender selbst um die Sicherheit ihrer Anwendungen kümmern sollten.
Gemalto fragt sich, inwieweit diese Haltung Schule machen kann. „Zweifellos wollen CIOs die Mitarbeiter dazu ermuntern, zu experimentieren und mit Technologie in Berührung zu kommen“, lautet die Antwort in der Studie. „Aber sie müssen sich auch darüber bewusst sein, dass eine Vernachlässigung von Kontrolle zu ernsten Konsequenzen führen kann.“ Es drohe nämlich die ganzheitliche Sicht auf die IT-Sicherheit im Unternehmen verloren zu gehen - eine Gefahr, die demnach in Skandinavien besonders virulent ist.
Sicherheit vor Nutzerfreundlichkeit
Insgesamt knapp 60 Prozent der Befragten berichten, dass es Tablets in ihrem Unternehmen gibt – in Großbritannien beträgt der Anteil sogar 77 Prozent. Allerdings folgen nur 17 Prozent aller befragten CIOs einem konsequenten BYOD-Ansatz. 60 Prozent bezeichnen ihre Endgeräte-Politik als firmengesteuert. Weitgehende Einigkeit herrscht auch in anderer Hinsicht: Fast zwei Drittel gehen davon aus, dass Tablets eine neue Security-Herausforderung darstellen.
Zwar meinen 84 Prozent der Befragten, dass ihre aktuelle Strategie zur mobilen Security risikobehaftet sei. Aber nur 13 Prozent sehen eine sehr ernste Gefahr, 34 Prozent kalkulieren mit einem mittleren Risiko. Für Gemalto ist das eine zu nachlässige Sicht der Dinge. CIOs sollten das Alarmsignal hören und BYOD umfassend annehmen. „Consumer-Endgeräte finden ihren Weg an den Arbeitsplatz – ob das den CIOs passt oder nicht“, heißt es in der Studie. „Sie zu sichern, ist eine der größten Herausforderungen, denen sich CIOs in der kommenden Dekade stellen müssen.“
Risiko versus Mobilität und Virtualisierung
Alles in allem sind die befragten IT-Chefs kaum dazu bereit, einen Zipfel an Sicherheit zugunsten anderer Vorteile zu opfern. 85 Prozent sagen, sie würden kein erhöhtes Risiko im Rahmen einer Initiative eingehen wollen, die mehr Mobilität oder einen Zuwachs an Virtualisierung ermöglicht.
In der Studie wird das Problem noch auf eher schlichte Weise zugespitzt. Die Befragten sollten sagen, ob ihnen entweder einer starken Authentifizierung und Sicherheit oder aber Nutzerfreundlichkeit und Bedienkomfort für die User wichtiger seien.
Insgesamt gaben 69 Prozent ihr Votum für ein Augenmerk auf Sicherheit ab, in Deutschland sogar 78 Prozent. Aus dem Rahmen fallen zum zweiten Mal die Befragten aus Skandinavien. Auch hier stimmte zwar eine Mehrheit für den Fokus auf Security, aber das nur hauchdünn: 53 zu 47 Prozent.
Einfaches Login reicht CIOs
Gemalto plädiert hier ebenfalls für ein Gleichgewicht der beiden Güter. „Keines kann ohne das andere bestehen“, so der Anbieter. „Und bis CIOs das verstanden haben, werden sie darum kämpfen müssen, ihre Endanwender zum bestmöglichen Gebrauch der vorhandenen Technologie zu bringen.“
38 Prozent der Befragten berichten, dass die Datenverluste prominenter Firmen in jüngster Zeit ihr Unternehmen zur Anhebung des Budgets für IT-Security veranlasst habe. 47 Prozent der CIOs gehen ferner davon aus, dass einfaches Login und Passwort als Authentifizierungsmaßnahmen ausreichen, um Netzwerk und Anwendungen zu schützen0 - Gemalto ist da schon aus eigenem Verkaufsinteresse anderer Ansicht. Zu 56 Prozent scheitern komplexere Authentifizierungslösungen an zu hohen Kosten, wie aus der Studie hervorgeht.
Das Whitepaper „Are CIOs Losing the Battle for Secure Network Access?” ist bei Gemalto erhältlich.