Informationssicherheit verdient häufig das Prädikat mangelhaft. So waren beispielsweise beim Springer-Konzern sensible Daten von Anzeigenkunden wochenlang per einfacher Google-Suche abrufbar. Zwar schrecken angesichts der Finanzkrise viele Firmen vor Investitionen zurück. Doch eine Studie unserer US-Schwesterpublikation CSO zeigt, dass Firmen Rekordsummen für Sicherheitssoftware ausgeben.
Für die Studie befragte das CSO-Magazin in Zusammenarbeit mit der Beratungsgesellschaft Pricewaterhousecoopers weltweit 7097 IT-Sicherheitsexperten aus 119 Ländern zu Herausforderungen, Problemen und Fortschritten in der Informationssicherheit. Zum sechsten Mal in Folge erhob sie die Ergebnisse in der Studie "Global State of Information Security".
Allerdings förderte die Umfrage auch zutage, dass klar strukturierte Sicherheitsprozesse meist fehlen: Sie existieren nur in 59 Prozent der Firmen. In Deutschland liegt der Wert sogar nur bei 52 Prozent. Ein weiterer Makel: Lediglich 43 Prozent der Firmen kontrollieren, ob die Sicherheitsrichtlinien - sofern vorhanden - eingehalten werden. Der Wert liegt damit zwar um sechs Prozent höher als im vergangenen Jahr, aber immer noch nicht hoch genug.
Das durchschnittliche Sicherheitsbudget beträgt 1,7 Millionen Dollar. Beim Blick nach vorn zeigen sich 44
Prozent der Befragten optimistisch. Sie glauben, dass sie im kommenden Jahr mehr finanzielle Mittel zur Verfügung haben werden. In Deutschland liegt der Optimisten-Anteil bei 35 Prozent.
Technik allein nützt nichts
Weil ein großer Teil des Geldes aus der IT stammt, reagieren Firmen auf Probleme häufig mit technischen Maßnahmen: 55 Prozent verschlüsseln heute ihre Datenbanken, 50 Prozent ihre Laptops. Auch Firewalls für individuelle Applikationen werden immer beliebter: Ihre Nutzung stieg von 62 auf 67 Prozent.
Fehlen jedoch praktikable Prozesse, nützt die beste Technik nichts. Technologie sollte Bestandteil eines
umfassenden Planes zur Informationssicherheit sein, fordert etwa Dennis Devlin, CISO der US-amerikanischen Brandeis Universität. Anstatt seinen Mitarbeitern den Namen des neuesten E-Mail-Virus zu verkünden, trainiert er sie lieber nachhaltig. Etwa darauf, keine unbekannten URLs anzuklicken, verdächtige Anhänge nicht zu öffnen und ihnen das Risiko bewusst zu machen, online sensible persönliche Daten weiterzugeben.
Diese Arbeitsweise scheint sich zum Trend zu entwickeln. Im vergangenen Jahr boten erst 42 Prozent der Unternehmen ihren Angestellten Sicherheitstrainings an. In diesem Jahr kletterte dieser Wert auf 54 Prozent. Trotzdem besteht Nachholbedarf: Nur 41 Prozent der befragten Firmen verpflichten Arbeitnehmer dazu, sich über die internen Datenschutzrichtlinien zu informieren. Der Anteil stieg im Vergleich zum Vorjahr zwar um vier Prozent, ist aber immer noch sehr niedrig.
Ein Vorzeigeprojekt plant etwa CISO Tim Stanley von Continental Airlines. Er möchte jeden einzelnen Datensatz im Unternehmen den drei Kategorien Besitzer, geschäftlicher Nutzen und Höhe des Risikos zuordnen. Das macht ihn zum Vorreiter. Denn nur wenige Unternehmen nehmen ähnlich detaillierte Klassifizierungen vor. Zwar bestimmen 68 Prozent zumindest regelmäßig den Risikofaktor von Daten, den unternehmerischen Wert halten nur 24 Prozent von ihnen fest - ein Fehler, denn die ideale Sicherheitsstrategie ergibt sich aus einer Kombination der zwei Werte.
Schutz endet an der Firmenmauer
Die Studienergebnisse belegen auch, dass Regularien die Sicherheitsverantwortlichen in Bewegung bringen. 44 Prozent der Befragten gaben an, dass sie sich bei neuen Vorschriften und Gesetzen um Compliance bemühen. Im Vorjahr taten dies nur 40 Prozent.
Häufig greifen diese Bemühungen zu kurz. Es reicht nicht, sich nur intern um Sicherheit zu kümmern. Viele Unternehmen wissen nicht, was mit ihren Daten passiert, wenn sie sie an eine andere Firma weitergeben. Hierfür ein Beleg: Nur 22 Prozent der Befragten verfügen über ein Verzeichnis derjenigen Unternehmen, die Daten von ihnen nutzen. Und nur 37 Prozent der Teilnehmer verlangen von Dritten, dass sie Daten nach den Richtlinien des Unternehmens behandeln, aus dem sie stammen. Ein technisches Gutachten zur Überprüfung der Sicherheitsstandards im Drittunternehmen holen gerade einmal 28 Prozent der Befragten ein.
Experten raten deshalb, beim Outsourcing darauf zu achten, dass Drittunternehmen über Sicherheitsstandards verfügen, die mindestens so hoch sind wie im eigenen Unternehmen. Die Überprüfung der Sicherheit beim Dienstleister aus Kostengründen zu unterlassen kann fatale Folgen haben.
Kaum verändert haben sich in den vergangenen Jahren die Zahlen rund um Sicherheitsvorfälle: 38 Prozent der Befragten waren mit ein bis 49 Sicherheitsgefährdungen im Jahr konfrontiert. Weitere 35 Prozent gaben an, sie wüssten nicht, ob sie betroffen waren. In Deutschland sind es sogar 52 Prozent, die sich beim Thema nicht auskennen.
Sicherheitsverantwortliche einsetzen
Eine der Top-Prioritäten in den kommenden Jahren ist die Einstellung eines CISO. Denn Störfälle lassen sich reduzieren, wenn Unternehmen neben der Sicherheitsstrategie auch einen Sicherheitsverantwortlichen einsetzen. Den haben heute nur 56 Prozent.der Befragten (in Deutschland: 36 Prozent).