Über die elektronische Sicherheit entscheidet in den USA meist der CEO, in Europa der CIO. Weil sie noch über vieles andere zu befinden haben, können sie nicht ihre ganze Aufmerksamkeit der IT-Sicherheit widmen. Gerade das scheint aber zunehmend geboten: Wer das Schiff auf Kurs halten will, muss mit einer wild in entgegengesetzte Richtungen ausschlagenden Kompass-Nadel umgehen. Deshalb haben mittlerweile zwölf Prozent der Firmen die Verantwortung einem spezialisierten CSO übertragen.
Jede zentrale Frage in diesem Bereich hat eine zweite Seite, die eine einfache Antwort unmöglich macht. So erscheint 45 Prozent der Firmen die elektronische Sicherheit "sehr verwundbar", wenn vertrauliche Kundendaten online verfügbar gehalten werden; weitere 43 Prozent sagen "ziemlich verwundbar".
Es handelt sich laut AT&T-Studie um die aus Security-Sicht gefährlichste Aktivität. Das Problem ist, dass sie aus Business-Perspektive zentral ist. Wer das Risiko scheut, vergibt mögliche Erfolgschancen.
Die Verschärfung gesetzlicher Vorschriften erachten die Firmen als zweitwichtigsten Sicherheitstrend in den kommenden drei Jahren: 39 Prozent sehen darin einen Anlass, ihre Politik zu überdenken. Aber auch Compliance ist ein widersprüchliches Terrain.
So untersagt die Datenschutzrichtlinie der Europäischen Union, persönliche Daten länger als unbedingt nötig zu speichern. Das Sarbanes-Oxley-Gesetz in den Vereinigten Staaten bestraft hingegen Unternehmen, die Daten voreilig löschen. Den Überblick zu behalten, erweist sich als stetige Herausforderung.
Gefahren-Trend geklaute Identitäten
Als wichtigste Entwicklung in naher Zukunft nennt die Hälfte der Unternehmen die Zunahme drahtloser Netze und mobiler Anwendungen. Der Grat ist auch hier schmal: Die Balance zwischen Produktivitätsvorteilen und Datenschutz zu finden, sei keine einfache Aufgabe, heißt es in der Studie.
Viren und Würmer nennen die Befragten als größte Bedrohung derzeit (71 Prozent), gefolgt von Hackern (49 Prozent) und Unfällen (33 Prozent). Als Gefahrenherd, der sich weiter aufheizen wird, sehen sie Identitätsdiebstahl: Ein Drittel hält ihn schon heute für das größte Problem, 39 Prozent sagen, dass er es in drei Jahren sein wird.
Im Schnitt ist der Anteil der Sicherheit am IT-Budget der Firmen laut AT&T in den vergangenen drei Jahren von elf auf 18 Prozent gestiegen. In dieser Zeit ging die Zahl der Attacken zwar zurück. Wenn die effizient wie nie arbeitenden Angreifer aber zuschlagen, liegt der Schaden umso höher. "Die Bedrohungen werden zunehmend unsichtbarer", sagt Bill O’Hern, Vize-Präsident des AT&T Security Solutions Centre.
IT-Sicherheit lässt sich nur selten objektiv bewerten. Zur oben genannten IP-Konvergenz gibt es zwei Philosophien. Die eine verweist darauf, dass IP "VoIP-Phreaking" ermöglicht: Telefon-Hacking über falsche Anruferkennung. Die andere rückt in den Vordergrund, dass ein IP-Netz in Notfällen das Fortführen der Geschäftsabläufe ermöglicht.
Fallstricke allenthalben, weshalb AT&T zum Einsatz von CSOs rät. "Sicherheitsentscheidungen sollten vom Senior Management zum CSO übergehen", sagt O’Hern. "Er muss als unabhängige Führungskraft in der Lage sein, Geschäftsentscheidungen aus dem Blickwinkel der Risiken und Bedrohungen zu beeinflussen."
AT&T befragte gemeinsam mit Economist Intelligence Unit für die Studie "Netzwerk-Sicherheit: Die Produktivität schützen" 395 Führungskräfte.