IT-Sicherheit wird nun auch für die Anwender zum Geschäft. Viele haben erkannt, dass das Wichtigste, was sie besitzen, ihre Daten und Systeme sind, die aber nur noch geschützt etwas wert sein können. "Es ist mittlerweile üblich, dass der CISO die Freigabe erteilen muss, wenn es darum geht, unternehmenskritische Daten zu schützen", betont Matthias Rosche vom Ismaninger Systemintegratoren Integralis die gewachsene Bedeutung von Security-Verantwortlichen in den Unternehmen. Sicherheit werde vielfach nicht mehr isoliert, sondern als wichtiger Bestandteil von IT-Projekten gesehen. Besonders im Mittelstand und darunter, wo die Security-Budgets nicht gerade üppig ausfallen, ist aber noch Luft nach oben:
Die Weiterentwicklung vom reinen IT- hin zum Business-Thema ist auch für Steve Durbin, Vice President des Information Security Forum (ISF), zweifelsohne festzustellen: "Je enger die Geschäftsbeziehungen ausfallen, desto größer und unberechenbarer werden die Sicherheitsanforderungen." Er unterstreicht die Bedeutung der gesamten Supply Chain eines Unternehmens für die Sicherheit: "Die Daten der Zulieferer sind mit die wichtigsten Informationen, die es gibt." Weil die Lieferkette zum Kerngeschäft gehört, bewegt sich auch deren Absicherung immer weiter in Richtung des Unternehmenszentrums.
Risiken verwalten
Im Bereich Risiko-Analyse und -Management tut sich deshalb eine Menge. Je mehr kritische Daten bewegt werden, desto wichtiger werden deren Klassifizierung und Risikobewertung. Weil sich das aber nicht von jetzt auf gleich bewerkstelligen lässt, setzen Anwender in der Zwischenzeit vermehrt auf pauschale, schneller integrierbare Konzepte: Verschlüsselung, Gerätekontrolle, Netzwerküberwachung und Policies, auch um den gestiegenen regulatorischen Vorschriften Herr zu werden. Der zunehmende Einsatz von Mobilgeräten und Cloud-Services trägt dazu bei, dass kurzfristig reagiert werden muss. Mittel- und langfristige Sicherheitskonzepte sind derweil im Wartestand der sorgfältigen Eruierung.
Zeit für Experimente ist nicht - das trifft auch auf die Betreiber kritischer Infrastrukturen zu. In nächster Zeit befürchten viele Sicherheitsexperten vermehrt komplexe Angriffe auf Industriesteuerungs- und Produktionsanlagen, auf intelligente Stromnetze oder internetverbundene Logistik- und Verkehrsleitsysteme. "Wir werden erste Anzeichen für Angriffe auf kritische Industrieanlagen erleben", prognostiziert Costin Raiu, Virenforscher bei Kaspersky Lab. Er führt aus: "Die bemerkenswertesten IT-Sicherheitstrends für das Jahr 2013 werden neue Arten von Cyberkriegsoperationen, ein Anstieg zielgerichteter Attacken gegen Unternehmen und neue, hoch entwickelte mobile Bedrohungen sein."