Die Treiber der Komplexität

Zu viele Security-Systeme im Einsatz

01.04.2011 von Andreas Schaffry

Zwei von drei IT-Chefs klagen, Mitarbeitern fehle das Bewusstsein für IT-Sicherheit. An einem anderen Problem sind CIOs laut einer Ponenom-Studie selbst Schuld: Komplexität.

Unternehmen setzen viel zu viele Sicherheitslösungen unterschiedlicher Hersteller ein. Die nicht konsolidierte IT-Security-Landschaft ist ein Risiko und treibt IT-Kosten in die Höhe.
Foto: Ponemon Institut

Unternehmen, die Opfer einer Cyber-Attacke von außen oder eines Angriffs von innen werden, haben wenig zu lachen. Der Diebstahl oder der Verlust geschäftskritischer Informationen, etwa von Kundendaten oder von geistigem Eigentum, führt zu teils herben finanziellen Verlusten und beschädigt die eigene Marke. So kann ein einziger Angriff Firmen, je nach deren Größe, zwischen knapp 240.000 US-Dollar und mehr als 50 Millionen US-Dollar kosten.

Compliance treibt Komplexität bei IT-Security

Trotz dieser erschreckenden Zahlen gelingt es den Betrieben jedoch kaum, sich ausreichend gegen Risiken von Angriffen auf die Unternehmens-IT abzusichern. Als größtes Problem wird ein effizientes Management der inzwischen komplexen Security-Umgebungen gesehen.

Größte Herausforderung ist für Unternehmen, komplexe IT-Sicherheitsstrukturen vernünftig zu verwalten und Compliance-Anforderungen zu erfüllen.
Foto: Ponemon Institut

Das ist ein Kernergebnis der weltweiten Studie "Understanding Security Complexity in 21st Century IT Environments", die die US-Marktforscher des Ponemon Institute im Auftrag des IT-Sicherheitsanbieters Checkpoint durchgeführt haben. Ein Drittel aller Umfrageteilnehmer bezeichnete diese Komplexität als größte Herausforderung in ihrer Sicherheitsstrategie. Für 22 Prozent steht die Erfüllung branchenspezifischer oder gesetzlicher Compliance-Anforderungen an erster Stelle. 20 Prozent wollen sich vor Datenverlusten, verursacht durch eigene Mitarbeiter oder durch Eindringlinge von außen, schützen.

Die Gründe für die hohe Komplexität der IT-Sicherheitsstrukturen in Unternehmen sind vielschichtig und von Land zu Land unterschiedlich. In den USA (19 Prozent) und Großbritannien (16 Prozent) werden diese primär durch den Schutz vor Datenverlust verursacht, während in Deutschland (29 Prozent), Frankreich (28 Prozent) und Japan (21 Prozent) die Erfüllung von Compliance-Vorgaben Priorität hat.

Ein weiterer Grund für die hohe Komplexität wie auch für zu hohe IT-Kosten: Unternehmen setzen IT-Security-Lösungen unterschiedlichster Anbieter ein.

7 Security-Lösungen und mehr im Einsatz

So nutzen über 56 Prozent der befragten Firmen in Deutschland für die Absicherung ihres Netzwerks die Produkte von mehr als sieben verschiedenen Herstellern. In Japan und Frankreich sind es sogar jeweils zwei Drittel, in den USA 60 Prozent der Betriebe. Am schlauesten verhalten sich britische Firmen. Dort setzen nur 28 Prozent Sicherheitslösungen von mehr als sieben Anbietern ein.

Verlorenes oder geklautes IT-Equipment ist die häufigste Ursache für Datenverluste.
Foto: Ponemon Institut

Transparenz und Kontrolle sind aus Sicht der Organisationen bei der Adaption neuer Technologien, wie etwa Cloud Computing, mobilen Lösungen, Web 2.0- und File Sharing-Applikationen, erforderlich. Doch dies stellt Unternehmen vor Probleme, auf allen Ebenen des Netzwerks die Sicherheitsmaßnahmen zu treffen und gleichzeitig den gesetzlichen Compliance-Anforderungen zu genügen.

Ein Drittel der befragten Studienteilnehmer betrachtet deshalb die Einführung dieser Technologien im Hinblick auf die IT-Sicherheit mit großer Sorge. Klar definierte Sicherheitsrichtlinien bilden der Studie zufolge einen wichtigen Grundstein, um Compliance- und Security-Anforderungen erfüllen zu können.

Laptop weg, Daten auch

Ein weiteres Ergebnis der oben beschriebenen Entwicklungen ist, dass Datenverluste immer häufiger auf das Fehlverhalten von Mitarbeitern zurückzuführen sind. Tatsächlich glauben länderübergreifend knapp 49 Prozent der Befragten, dass die Mitarbeiter ihres Unternehmens wenig bis gar kein Bewusstsein für interne Datenschutzmaßnahmen oder Sicherheitsregeln haben. In Deutschland sind es sogar 69 Prozent.

Als Hauptgrund für Datenverluste gab ein Drittel der Firmen den Diebstahl von IT-Equipment, etwa Laptops und andere mobilen Geräten, an. Bei 23 Prozent war die Ursache für Datendiebstahl ein gehacktes Netzwerk.

USB-Sticks nicht verschlüsselt

21 Prozent beklagen Datenverluste in ihren webbasierten Anwendungen und File-Sharing-Sites und jeweils 13 Prozent durch nicht verschlüsselte USB-Sticks und Storage-Laufwerke sowie ungenügend gesicherte mobile Geräte.

Für die Studie befragten die Marktforscher im Februar 2011 mehr als 2.400 IT-Administratoren in den USA, Großbritannien, Frankreich, Deutschland und Japan. Diese stammen aus Unternehmen aller Größen in 14 verschiedenen Branchen, darunter Banken und Finanzdienstleister, Fertigungsindustrie, Einzelhandel, Gesundheitswesen und Bildungssektor. 600 Befragte kommen aus Deutschland.