The Global State of Information Security 2008

Unsicheres Deutschland

21.01.2009
Von 
Andrea König schreibt seit 2008 für CIO.de. Die Schwerpunkte ihrer Arbeit für die CIO-Redaktion sind Themen rund um Karriere, soziale Netzwerke, die Zukunft der Arbeit und Buchtipps für Manager. Die Arbeit als freie Autorin für verschiedene Redaktionen ist mittlerweile kein Vollzeitjob mehr - hauptberuflich arbeitet sie als PR-Beraterin bei einer Hamburger Kommunikationsagentur.
Weitere Artikel des Autors

Technik allein nützt nichts

Ausgaben: Wer am meisten für Sicherheit ausgeben will.
Ausgaben: Wer am meisten für Sicherheit ausgeben will.

Weil ein großer Teil des Geldes aus der IT stammt, reagieren Firmen auf Probleme häufig mit technischen Maßnahmen: 55 Prozent verschlüsseln heute ihre Datenbanken, 50 Prozent ihre Laptops. Auch Firewalls für individuelle Applikationen werden immer beliebter: Ihre Nutzung stieg von 62 auf 67 Prozent.

Fehlen jedoch praktikable Prozesse, nützt die beste Technik nichts. Technologie sollte Bestandteil eines
umfassenden Planes zur Informationssicherheit sein, fordert etwa Dennis Devlin, CISO der US-amerikanischen Brandeis Universität. Anstatt seinen Mitarbeitern den Namen des neuesten E-Mail-Virus zu verkünden, trainiert er sie lieber nachhaltig. Etwa darauf, keine unbekannten URLs anzuklicken, verdächtige Anhänge nicht zu öffnen und ihnen das Risiko bewusst zu machen, online sensible persönliche Daten weiterzugeben.

Schulungen: Sicherheitstrainings für Mitarbeiter.
Schulungen: Sicherheitstrainings für Mitarbeiter.

Diese Arbeitsweise scheint sich zum Trend zu entwickeln. Im vergangenen Jahr boten erst 42 Prozent der Unternehmen ihren Angestellten Sicherheitstrainings an. In diesem Jahr kletterte dieser Wert auf 54 Prozent. Trotzdem besteht Nachholbedarf: Nur 41 Prozent der befragten Firmen verpflichten Arbeitnehmer dazu, sich über die internen Datenschutzrichtlinien zu informieren. Der Anteil stieg im Vergleich zum Vorjahr zwar um vier Prozent, ist aber immer noch sehr niedrig.

Ein Vorzeigeprojekt plant etwa CISO Tim Stanley von Continental Airlines. Er möchte jeden einzelnen Datensatz im Unternehmen den drei Kategorien Besitzer, geschäftlicher Nutzen und Höhe des Risikos zuordnen. Das macht ihn zum Vorreiter. Denn nur wenige Unternehmen nehmen ähnlich detaillierte Klassifizierungen vor. Zwar bestimmen 68 Prozent zumindest regelmäßig den Risikofaktor von Daten, den unternehmerischen Wert halten nur 24 Prozent von ihnen fest - ein Fehler, denn die ideale Sicherheitsstrategie ergibt sich aus einer Kombination der zwei Werte.

Schutz endet an der Firmenmauer

Die Studienergebnisse belegen auch, dass Regularien die Sicherheitsverantwortlichen in Bewegung bringen. 44 Prozent der Befragten gaben an, dass sie sich bei neuen Vorschriften und Gesetzen um Compliance bemühen. Im Vorjahr taten dies nur 40 Prozent.

Zur Startseite