Wenn die Wirtschaft lahmt, haben Security-Maßnahmen Vorrang, "die den Leidensdruck des Unternehmens spürbar lindern, nachweislich ein gutes Kosten-Nutzen-Verhältnis mit sich bringen und mit überschaubarem Projektrisiko verbunden sind", beschreibt Wolfram Funk, Senior Advisor bei der Experton Group, das derzeitige Investitionsverhalten, was IT-Sicherheit betrifft. Beispiele hierfür sind der Schutz vor Spam, Malware und Phishing, Firewalls sowie die revisionssichere E-Mail-Archivierung. Offenbar ist das Bewusstsein für die Notwendigkeit eines "Basisschutzes" mittlerweile so hoch, dass er dem Abschwung nicht automatisch zum Opfer fällt.
Belegt wird dies durch eine Umfrage der Experton Group unter CIOs und Security-Verantwortlichen in Deutschland. Demnach sind derzeit vor allem Techniken aus den Bereichen Infrastruktur-, Endpunkt- sowie Messaging- und Web-Sicherheit im Einsatz: 94 Prozent der Befragten setzen Firewalls ein, 88 Prozent Messaging-Sicherheitsfunktionen an Server und Gateway, 86 Prozent Virtual Private Networks (VPN) und 75 Prozent Messaging-Lösungen am Client. Auf die Frage, wo die Unternehmen bis 2010 Investitionen planen – sofern es ein Budget dafür gibt –, liegt die revisionssichere E-Mail-Archivierung vorn (33 Prozent der Befragten). Danach folgen E-Mail-Verschlüsselung (21 Prozent), Festplattenverschlüsselung (18 Prozent) und Lösungen für die starke Authentisierung (16 Prozent).
Security in Zahlen
Im Gegensatz zu dem durchgehend hohen Wachstum der vergangenen Jahre soll das Geschäft mit Security-Lösungen und -Services laut Experton Group in diesem Jahr nur noch um sechs Prozent auf 4,1 Milliarden Euro zulegen. Dabei entfallen 1,7 Milliarden Euro auf Produkte sowie 2,4 Milliarden Euro auf Dienstleistungen. Erst ab 2011 werden die Steigerungsraten wieder im zweistelligen Prozentbereich liegen, prognostizieren die Analysten. Zwischen 2009 und 2012 entspräche dies einem durchschnittlichen Wachstum von 9,3 Prozent pro Jahr.
Verglichen mit den vielerorts schrumpfenden IT-Budgets liegen die Ausgaben für die IT-Sicherheit aber nach wie vor im positiven Bereich: Vor dem Hintergrund der Krise gehen mittlerweile nur noch 15 Prozent der Security-Verantwortlichen von höheren IT-Ausgaben als 2008 aus, aber 33 Prozent rechnen mit höheren Investitionen in die IT-Sicherheit. Und während 22 Prozent der CIOs sinkende IT-Budgets erwarten, wollen nur sieben Prozent ihre Security-Investitionen zurückfahren. Im Schnitt geben deutsche Firmen derzeit knapp acht Prozent ihres IT-Budgets für Security-Lösungen und -Services aus. Ein dediziertes IT-Sicherheitsbudget ist dabei nur noch selten anzutreffen (elf Prozent der Befragten). Die meisten Firmen (71 Prozent) finanzieren ihre Security-Maßnahmen über die IT-Abteilung, 15 Prozent zapfen hierfür Budgets aus anderen Bereichen an.
Kosten-Nutzen-Relation im Fokus
Mit hohen Projektrisiken verbundene oder komplexe Vorhaben wie DLP (Data Leakage Protection) werden dagegen momentan hintangestellt. Auch bei den Hype-Themen E-Mail- und Festplattenverschlüsselung sowie Enterprise Single Sign On (ESSO) besteht laut Experton Group eine Diskrepanz zwischen "Wollen" und "Umsetzen": Der grundsätzliche Bedarf ist zwar da, aber die Priorität gegenüber anderen Security-Bereichen ist in diesem Jahr eher niedrig. Bei einer Verschlechterung der wirtschaftlichen Lage laufen solche Vorhaben Gefahr, zugunsten anderer Projekte auf Eis gelegt zu werden. "Die Kosten-Nutzen-Relation ist stärker in den Mittelpunkt gerückt", fasst Analyst Funk zusammen.
Die Studie
Die Experton Group hat im Rahmen ihrer Studie "Informationssicherheit: Status Quo und Trends in Deutschland 2009+" untersucht, welche Aktivitäten deutsche Unternehmen im Bereich IT-Sicherheit aktuell planen und umsetzen. Hierzu befragten die Marktforscher zwischen November 2008 und Januar 2009 branchenübergreifend 150 Anwender mit mindestens 100 Beschäftigten.
Mängel beim Risiko-Management
Voraussetzung, um Kosten und Nutzen abwägen und die Ressourcen entsprechend verteilen zu können, sei allerdings ein umfassendes Risiko-Management. Und hier besteht nach wie vor erheblicher Nachholbedarf, wie die Studie zeigt. So werden solche Analysen meist punktuell von der IT angestoßen (62 Prozent der Befragten). Ein kontinuierliches, an die Prozesse angebundenes Risiko-Management erfolgt dagegen nur in knapp 40 Prozent der Firmen. Und lediglich in jedem dritten Unternehmen sind die Business-Verantwortlichen involviert, um die Bedeutung eines bestimmten Risikos nicht nur für die operative IT, sondern für das Unternehmen als Ganzes zu berücksichtigen. "In der Realität liegt der Anteil allerdings noch niedriger", weiß Funk aus Erfahrung. Vielen Firmen fehle der Mut, die Risiken zu quantifizieren.
Hinzu kommt, dass Risikoanalysen meistens durch den CIO oder - in kleineren Unternehmen - durch die Geschäftsleitung initiiert werden. Im Sinne einer engeren Zusammenarbeit zwischen IT und Geschäft ist es jedoch sinnvoll, einen aus leitenden Angestellten verschiedener Unternehmensbereiche bestehenden Sicherheitsausschuss (Security Steering Committee) zu etablieren, empfiehlt der Berater. Und über eine solche Schnittstellenfunktion verfügen bislang nur 28 Prozent der befragten Firmen. Vor diesem Hintergrund bezieht sich das Risiko-Management vielerorts nur auf die Verbesserung von Backup- und Recovery-Prozessen im Rechenzentrum. Der ganzheitliche Schutz – etwa vor Industriespionage – wird nur selten einbezogen, kritisiert Funk.
Steigende Nachfrage nach Services
Der Markt für Security-Produkte soll in diesem Jahr um 5,1 Prozent zulegen. Für das Servicegeschäft prognostiziert die Experton Group ein Wachstum von 6,4 Prozent. Vor allem Wartungs- und Support-Services sind gefragt: 54 Prozent der Befragten greifen hier auf externe Anbieter zurück. Es folgen Beratung (43 Prozent), Implementierungs- und Integrationsdienste (39 Prozent) sowie Schwachstellen-Audits (38 Prozent).
Jedes dritte Unternehmen lagert Aufgaben im Rahmen von Managed Security Services (MSS) aus, um die eigenen Mitarbeiter zu entlasten und Transparenz und Qualität zu steigern. Typische Aufgaben sind hier das Firewall-, Messaging- und VPN-Management mit Fokus auf Fernüberwachung (Remote Monitoring) und der Verwaltung von Systemen, die im Rechenzentrum des Anwenders betrieben werden. Dagegen haben bislang nur zehn Prozent der Firmen das Hosting an einen externen Dienstleister übergeben. "Viele Anwender befürchten nach wie vor Kontrollverluste", begründet Experton-Analyst Funk. Cloud-Services oder Security-Software-as-a-Service (SaaS), also Modelle, bei denen sich der Kunde mit anderen Unternehmen eine vom Provider betriebene Plattform teilt ("Shared MSS"), nehmen sogar nur fünf Prozent der Firmen in Anspruch.
Security meist Sache der IT
Auch eine dedizierte Funktion für die IT-Sicherheit leisten sich bislang vorrangig große Konzerne: Lediglich 13,4 Prozent der befragten Firmen haben einen CISO (Chief Information Security Officer), der in den meisten Fällen direkt an den Vorstand berichtet. In mehr als jedem zweiten Unternehmen trägt dagegen der CIO oder IT-Leiter die übergeordnete Verantwortung für die IT-Sicherheit – ein organisatorisches Manko, meint Analyst Funk: "Die Folge ist meist eine rein technische Sicht, die zudem Sachzwängen wie Kosten und Systemleistung untergeordnet wird." Darüber hinaus leide die Kommunikation zwischen dem IT-Sicherheitsverantwortlichen und dem Management beziehungsweise den Fachbereichen, was dazu führe, dass Ersterer Anforderungen nur schwer durchsetzen könne.
Kontinuierliche Prozesse fehlen
Entsprechend wenig detailliert sind die firmeninternen IT-Sicherheitsprogramme. Eine diesbezügliche Strategie haben zwar alle befragten Verantwortlichen einmalig formuliert. Ein formelles ISMS (Information- Security-Management-System) als kontinuierlicher Prozess ist aber längst nicht selbstverständlich, wie die Umfrage zeigt. Ähnlich schwer tun sich die Anwender bei der Förderung des IT-Sicherheitsbewusstseins sowie in Sachen Datenschutz. Vor allem die Klassifizierung der Daten wird laut Funk vielerorts vernachlässigt. (sp)