IT-Sicherheit ist inzwischen ein wichtiger Kernbestandteil des Business und steht auf der Liste von CFOs weit oben. Budgets in diesem Bereich blieben bisher weitgehend von Kürzungen verschont. Doch die wirtschaftlichen Aussichten sind für Unternehmen nach dem Krisenjahr 2009 weiter volatil. Aus diesem Grund sinken auch die Budgets für die IT-Sicherheit.
IT-Prozesse stocken, Datanklau nimmt zu
Je mehr die Ausgaben IT-Sicherheit unter Kostendruck stehen, desto weniger lassen sich vorhandene Sicherheitsstandards aufrecht erhalten. Das macht Firmen anfälliger für Bedrohungen und erhöht Geschäftsrisiken, etwa aufgrund einer geringeren Verfügbarkeit von IT-Prozessen oder durch Datendiebstahl.
Das sind die Kernergebnisse der aktuellen Studie "2011 Global State of Information Security Survey" der Wirtschaftsprüfungs- und Beratungsgesellschaft PwC in Zusammenarbeit mit unseren US-Schwesterpublikationen CIO Magazine und CSO Magazine.
Knapp die Hälfte der Befragten gab an, dass die aktuellen ökonomischen Rahmenbedingungen die Ausgaben für IT-Sicherheit am meisten beeinflussen. Noch in der Vorjahresstudie spielten wirtschaftliche Aspekte nur bei 39 Prozent der Befragten eine Rolle, in den Jahren 2007 und 2008 gar keine.
Weniger Budget, weniger IT-Sicherheit
47 Prozent der Firmen haben für 2010 die Budgets für Sicherheits-Initiativen zurückgefahren und 46 Prozent Security-Vorhaben zurückgestellt. Als Gründe dafür nannten die Befragten Kapitalerhöhungen sowie Ausgaben für das operative Geschäft. Jedoch gibt es einen Silberstreif am Horizont: 52 Prozent gehen davon aus, dass die Budgets für IT-Sicherheit in ihrer Firma innerhalb der nächsten 12 Monate wieder steigen werden.
Dass Betriebe gerade an den Security-Budgets sparen ist erstaunlich, da sich die Anzahl der Spähangriffe seit 2007 um 70 Prozent erhöht hat. Am häufigsten spähen Angreifer Daten, Netzwerke und IT-Systeme aus. Jeweils rund ein Viertel der Incidents sind darauf zurückzuführen. Bei 20 Prozent der Firmen wurden die mobilen Endgeräte der Mitarbeiter und bei 16 Prozent Anwendungen ausspioniert.
Auffallend ist laut Studie, dass knapp ein Viertel der Befragten nicht weiß, ob es solche Vorfälle gab. Immerhin gab es in mehr als einem Viertel der Betrieb keine Incidents. In der Vorjahresstudie waren es nur 17 Prozent gewesen. 37 Prozent meldeten zwischen ein und neun Sicherheitsvorfälle.
Finanzielle Schäden steigen um 233 Prozent
Zugleich stiegen die durch gezielte Angriffe oder Incidents verursachten Schäden inzwischen dramatisch an. Die finanziellen Verluste erhöhten sich kumuliert über die letzten drei Jahre um 233 Prozent, der Datendiebstahl legte um 200 Prozent zu.
In den meisten Fällen kommt der Feind nicht von außen, sondern er lauert im Innern. Insgesamt 55 Prozent der Incidents verursachten Angestellte oder ehemalige Mitarbeiter. In 31 Prozent der Fälle sind Hackerangriffe der Grund für Sicherheitsvorfälle. Mehr als ein Drittel der Firmen konnte nicht nachverfolgen, woher die Angriffe kamen.
Höhere Risiken erwarten die Befragten auch von durch die Wirtschaftskrise geschwächten IT-Partnern und IT-Lieferanten. Das teilten 52 Prozent beziehungsweise 50 Prozent der Befragten mit. Zum Vergleich: Im Vorjahr lagen diese Werte bei 43 beziehungsweise 42 Prozent.
Kritische Daten schützen, GRC-Prozesse verbessern
Um Risiken zu minimieren, sehen 71 Prozent der Befragten im Schutz kritischer Unternehmensdaten (2009: 70 Prozent) die oberste Priorität. 67 Prozent planen Verbesserungen im Bereich der Corporate Governance sowie beim Risiko- und Compliance-Management. Immerhin 59 Prozent haben vor, die Verlässlichkeit von Managed Security Services zu erhöhen - vier Prozent mehr als im Vorjahr.
Immerhin 65 Prozent der Firmen haben dazu eine unternehmensweite Strategie zur Informationssicherheit eingeführt. 53 Prozent beschäftigen speziell geschulte Mitarbeiter zur Überwachung der Internetnutzung sowie werthaltiger Informationen.
55 Prozent (2009: 52 Prozent) sind der Ansicht, dass in Zukunft wegen der gestiegenen IT-Risiken der für IT-Sicherheit zuständigen Abteilung innerhalb der IT-Organisation mehr Bedeutung zukommt.
Für die Studie wurden die Antworten von knapp 13.000 Befragten aus Unternehmen aller Branchen in 135 Ländern ausgewertet. 43 Prozent der Befragten sind IT- und Security-Mitarbeiter, 23 Prozent IT- und Security-Manager und 13 Prozent CIOs, CTOs oder CSOs. 30 Prozent der Firmen setzten mehr als 500 Millionen US-Dollar um.