In Sachen IT-Sicherheit ist offenbar der Krieg ausgebrochen. Der US-Marktforscher Aberdeen jedenfalls vertritt die These: Der Nutzer soll seinen Rechner lieben wie der Soldat sein Gewehr. Zwecks Illustration dessen führt Aberdeen ein paar Glaubenssätze des US-Marines-General William H. Rupertus auf: "Dies ist mein Gewehr. Es ist nichts ohne mich - und ich bin nichts ohne es." Oder: "Mein Gewehr ist mein bester Freund. Ich kümmere mich darum wie um mich selbst."
Wenn Nutzer erst einmal anfangen, so über ihren PC zu reden, dann klappt es auch mit der IT-Sicherheit. Zumindest haben die Analysten in ihrer Studie "Endpoint Security, Endpoint Management" herausgefunden, dass ein gutes Management die Zahl der Sicherheitsvorfälle um rund vier Prozent senkt. Wer aber schlecht arbeitet, muss damit rechnen, dass sie um fast zehn Prozent steigt.
Wie bei dem Marktforscher üblich, teilen die Analysten die untersuchten Firmen in drei Kategorien ein: Spitze ("Best in Class"), Mittelfeld ("Average") und Schlusslichter ("Laggard"). Dabei sind die Bedingungen für alle gleich: Die Zahl mobiler Mitarbeiter nimmt pro Jahr im Schnitt um neun Prozent zu, die der Netzwerk-Nutzer um sechs Prozent. Die Anforderungen an die Sicherheit von Workstations, mobilen Rechnern und Handhelds steigen.
Dennoch erreichen Best-in-Class-Firmen folgende Zahlen: Die Sicherheitsvorfälle sinken um 3,8 Prozent und Non-Compliance-Vorfälle um 2,3 Prozent. Gleichzeitig sinken die Kosten, die für das Managen der Endgeräte anfallen, um 1,7 Prozent.
Anders bei den übrigen Teilnehmern. Die Firmen im Mittelfeld müssen bei den Sicherheitsvorfällen eine Steigerung um 0,9 Prozent hinnehmen - und die Schlusslichter sogar ein Wachstum von 9,7 Prozent. Immerhin erreicht das Mittelfeld eine Minderung der Non-Compliance-Events um 0,8 Prozent. Bei den Laggards nehmen diese um 5,7 Prozent zu. Die Kosten für das Endpoint-Management steigen bei den Mittelfeld-Firmen um 1,1 Prozent, bei den Nachzüglern um 9,1 Prozent.
Diese Unterschiede beruhen teils auf organisatorischen, teils auf technischen Faktoren. Zu den Technik-Punkten zählen folgende: Anti-Virus-Lösungen haben fast alle Unternehmen implementiert. Aber während 95 Prozent der Klassenbesten mit Anti-Spyware arbeiten, sind es nur 75 Prozent der Schlusslichter. 64 Prozent der Musterschüler kontrollieren ihren Netzwerk-Zugang, aber nur 35 Prozent der Nachzügler.
Standardisierung für eine bessere Performance
Soweit zu den eingesetzten Lösungen. Die Analysten haben sich darüber hinaus das Thema Standardisierung angesehen. Ergebnis: 85 Prozent der Erfolgs-Firmen standardisieren ihre Computer-Arbeitsplätze, aber nur 57 Prozent der Schlusslichter. Ebenfalls 85 Prozent der Best-in-Class standardisieren die Konfiguration der Endgeräte. Bei den Nachzüglern sind es nur 61 Prozent.
Was die Organisation der IT betrifft, so erlassen 93 Prozent der Musterfirmen konsistente Policies für Anwendungen und Lizenzen, unter den Firmen mit schwacher Performance halten nur 63 Prozent mit. 77 Prozent der Best-in-Class-Kandidaten entwickeln eine Systematik bei Implementierung und Rollout von Software, aber nur 43 Prozent der Schlusslichter.
Fazit: Aberdeen plädiert für eine neue Sicht auf Endgeräte und Endgeräte-Sicherheit. Stichwort ist dabei das vielzitierte Pro-aktive Management. Firmen, die diesen Wechsel vollziehen wollen, raten die Analysten zum Einsatz eines Endpoint-Management-Teams.
Dieses Team muss sich zunächst einmal einen Überblick über die Zahl aller Geräte verschaffen, ein Verzeichnis anlegen und dieses auch pflegen. Dann muss es die Geräte nach Sicherheitsrelevanz priorisieren. Aberdeen rät außerdem, soweit möglich zu standardisieren und zu automatisieren.
Security-Trainings für die Nutzer wichtig
Sicherheit und Performance müssen regelmäßig gemessen werden, so die Analysten weiter. Ein ganz wesentlicher Punkt ist auch Bewusstseinsbildung und Training der End-User. Das erfordert Richtlinien und Policies für den Umgang mit Hard- und Software.
Wenn diese Punkte umgesetzt werden, geht das mit der IT-Sicherheit vielleicht auch ohne Soldaten und Gewehre.
Der US-Marktforscher Aberdeen hat für die Studie "Endpoint Security, Endpoint Management" Entscheider aus 120 Unternehmen befragt.