Insider-Portal

Das Insider Portal: Für alle, bei denen die Umsetzung mehr zählt als die Theorie: Mit echten Fallbeispielen und Erfahrungsberichten zu den aktuellsten IT-Themen
Intel Inside®. Leistungsstarke Cloud-Services Outside.
Dell Lösungen powered by Intel®

IT-Sicherheit im Unternehmen

IT-Sicherheitsstudie zeigt: Technik ist oft veraltet

Thomas Fischer schreibt seit über 20 Jahren für unterschiedliche namhafte PC-Zeitschriften über IT-Themen sowie Business-Software, war beteiligt an der Entwicklung von Konzepten neuer IT-Magazine und arbeite mehrere Jahre in einem Verlag im Bereich Corporate Publishing. Sein Slogan ist: Technik einfach erklärt..
Die Sicherheit der IT-Strukturen ist für deutsche Unternehmen ein wichtiges Thema. Eine aktuelle Studie von Dell, für die IT-Verantwortliche in 175 deutschen Firmen mit 100 und mehr als 1.000 Beschäftigten befragt wurden, zeigt aber, dass die IT-Sicherheit im Unternehmen oft vernachlässigt wird.

Die meisten Firmen haben viel Geld in die IT-Sicherheit ihres Unternehmens investiert. Allerdings genügt hierbei eine einmalige Investition bei Weitem nicht, denn das ständige Katz- und Mausspiel zwischen den Cyber-Kriminellen und den Sicherheitsanbietern erfordert ständige Wachsamkeit und die Anpassung der Sicherheitstechnologien im Unternehmensnetzwerk.

Die aktuelle Studie Dell Security Survey 2015 zeigt, dass mehr als die Hälfte (55,4 Prozent) der Befragten der Meinung sind, ihre IT-Sicherheit sei nicht auf dem neuesten Stand. In Bezug auf die Unternehmensgröße kommt die Studie zu dem Ergebnis, dass sich kleinere Unternehmen mit 100 bis 199 Mitarbeitern scheinbar besser gerüstet sehen als Betriebe mit mehr Beschäftigten. Alle Befragten, die angaben, dass die IT-Sicherheit in ihrem Unternehmen nicht auf dem neuesten Stand sei, wurden zusätzlich nach dem Grund befragt. Eine Mehrfachnennung war hierbei möglich. 57 Prozent nannten als Grund, dass bislang noch keine ernsthaften Sicherheitsvorfälle in ihrem Unternehmen festgestellt worden waren. 55,8 Prozent der Befragten sahen die Ursache zudem im zu geringen IT-Sicherheitsbudget.

Foto: Dell

Ganzheitliche Lösungen und Schutzmechanismen

Blickt man auf das Jahr 2015 zurück, so war hier ein starker Anstieg der Bedrohungen für die IT-Sicherheit im Unternehmen zu verzeichnen. Immer mehr Informationen werden auf Cloud-Plattformen gespeichert - auch sensible personenbezogene Daten, die bei Cyber-Kriminellen sehr begehrt sind. SPAM, Phishing und Zero-Day-Attacken hatten daher neben neuen Malware-Bedrohungen Hochkonjunktur und werden sicherlich auch dieses Jahr nicht weniger werden. Dass keine Sicherheitsverletzungen in einem Unternehmen registriert oder bemerkt werden, heißt nicht zwangsläufig, dass es tatsächlich auch keine gibt. Es kann durchaus sein, dass sie nur (noch) nicht bemerkt wurden, weil beispielsweise die verwendeten Sicherheitstechniken im Unternehmensnetzwerk veraltet sind.

Interessant sind daher die Antworten in der Dell-Sicherheitsstudie auf die Frage nach den eingesetzten Sicherheitslösungen. Konkret wurde gefragt: "Welche der folgenden Lösungen sind bei Ihnen im Einsatz - unabhängig, ob über eigene IT-Ressourcen oder externe Partner?" Bei den Antworten waren Mehrfachnennungen möglich. Lediglich zwei Drittel (65,2 Prozent) gaben an, eine Lösung für Intrusion Detection einzusetzen. Intrusion Detection ist jedoch ein wichtiger Baustein in jedem IT-Netzwerk. Damit lassen sich Angriffe auf ein Netzwerk sofort erkennen, darunter auch bisher noch nicht bekannte Angriffsmethoden. Hierfür wird der Datenstrom überwacht und mit entsprechenden Mustern verglichen. Zudem registriert diese Technik ungewöhnliche Aktionen wie unerlaubte Zugriffe auf Daten oder Bereiche innerhalb des Netzwerks. Im Ergebnis erfolgt eine Benachrichtigung oder das Auslösen eines Alarms. Intrusion Detection kann Schadsoftware nur erkennen, aber nicht blockieren oder gar abwehren. Dafür wäre zum Beispiel ein Intrusion Prevention System geeignet.

Aufhorchen lässt das Ergebnis der Studie, dass mehr als ein Drittel der befragten IT-Verantwortlichen kein Identity & Access Management einsetzen. Die Verwaltung von Identitäten, Berechtigungen und Zugriffsrechten ist in einem Unternehmensnetzwerk jedoch von entscheidender Bedeutung. Nur so ist die effektive und rechtskonforme IT-Sicherheit im Unternehmen zu realisieren.

Überraschend ist zudem, dass laut Studie mehr als zwei Drittel der befragten Unternehmen keine Lösung zu DLP (Data Loss Prevention) einsetzen, die dem Verlust ihrer Daten entgegenwirkt. Die Kontrolle und das Wissen darüber, wer welche Daten im Unternehmensnetzwerk nutzt und wie diese Daten verwendet und verarbeitet werden, sind aber äußerst wichtig.

Foto: Dell

CISO vs. CIO

Was sind die Gründe dafür, wenn Unternehmen ihre IT-Sicherheitstechnik nur selten oder gar nicht aktualisieren? Um das zu erfahren, stellte die Dell Security Survey 2015 auch die Frage nach der jeweiligen Position der 175 Teilnehmer. Die Antworten zeigen, dass die Mehrheit der Teilnehmer CIOs oder IT-Leiter sind, in fünf der 175 Unternehmen (2,9 Prozent) ist laut Studie ein CISO (Chief Information Security Officer) tätig. Warum aber ist ein CISO wichtig? Genügt nicht ein CIO oder IT-Leiter für die Einhaltung der IT-Sicherheit?

Foto: Dell

Der CISO hat explizit die Aufgabe, die Informationssicherheit in einem Unternehmen zu gewährleisten. Weiterhin stellt er sicher, dass alle IT-Systeme im Unternehmensnetzwerk, die Daten verarbeiten und speichern, vor Gefahren und Bedrohungen geschützt sind. In seiner Verantwortung liegt es zudem, Ziele und Richtlinien zur Einhaltung der IT-Sicherheit für sein Unternehmen zu erarbeiten, festzulegen und praktisch umzusetzen. Er hat das Sicherheitsbewusstsein der Mitarbeiter regelmäßig zu überprüfen und bei Bedarf durch Schulungen aufzufrischen. CIO und IT-Leiter fokussieren sich im Vergleich zum CISO stärker auf Aufgaben, die den laufenden Betrieb und die IT-Planung betreffen.

Weg vom Silo-Gedanken

71,6 Prozent der Befragten nannten die verstärkte Schulung der Mitarbeiter als einen möglichen Ansatz, um die Sicherheit zu optimieren. Das zeigt, dass für einen großen Teil der Befragten das Verhalten der Mitarbeiter für die IT-Sicherheit im Unternehmen eine wichtige Rolle spielt. 52,9 Prozent gaben zudem an, dass Expertise durch externe Partner ein möglicher Weg zur Optimierung der IT-Sicherheit ist. Sie sind sich bewusst, dass der Blick eines unabhängigen Sicherheitsspezialisten Schwachstellen in der Sicherheit der IT-Struktur aufdecken kann, die bislang vielleicht unbekannt waren. So lassen sich in puncto IT-Sicherheit auch verschiedene neue Lösungen diskutieren und Strategien entwickeln.

Bei allen Antworten waren Mehrfachnennungen möglich. Für knapp die Hälfte der Befragten ist der Wechsel zu besseren Produkten oder Lösungen ein Ansatz zur Sicherheitsoptimierung. Das weist darauf hin, dass fast jedes zweite Unternehmen mit seinen aktuell eingesetzten Sicherheitslösungen mehr oder weniger unzufrieden ist.

Lediglich 34,8 Prozent sehen eine zentrale IT-Sicherheitsabteilung als Lösung zur Optimierung der IT-Sicherheit an. Dabei ist es ineffizient, die Verantwortung der IT-Sicherheit auf einzelne Abteilungen zu verteilen. Zudem birgt eine solche Silo-Struktur Gefahren, da dadurch die Wahrscheinlichkeit steigt, dass Sicherheitsrichtlinien nicht eingehalten werden. Eine zentrale Sicherheitsabteilung dagegen definiert und überwacht als einzige Institution im Unternehmen sämtliche Sicherheitsrichtlinien und Sicherheitstechniken. Sie ist dadurch nicht nur effizienter, sondern insgesamt auch kostengünstiger. Zudem garantiert diese Struktur, dass einheitliche und aktuelle Techniken mit hohen Sicherheitsstandards zum Einsatz kommen. Für Unternehmen ist daher die Vermeidung von Silos bei der IT-Sicherheit essenziell.

Foto: Dell

Fazit

Die von Dell beauftragte Studie zur IT-Sicherheit zeigt auf, dass bei diesem Thema in vielen deutschen Unternehmen noch Verbesserungsbedarf besteht. Die Ursachen für die Mängel und Schwächen liegen zumeist in den Strukturen der Unternehmen und sicherlich auch im verfügbaren Budget begründet. Es wird deutlich, dass bei der IT-Sicherheit oft noch das Silo-Denken überwiegt. Die Vermeidung von Silos ist hier jedoch wichtig: Wenn die IT-Sicherheit im Unternehmen zentral und mit einem verantwortlichen CISO an der Spitze organisiert ist, kann sie effizienter und schneller auf Bedrohungen reagieren.

Halten Unternehmen ihre IT-Sicherheit nicht auf den neuesten Stand, gehen sie damit ein unkalkulierbares Risiko ein. Fast immer lohnt sich daher eine Partnerschaft mit einem externen Sicherheitsspezialisten, der nicht nur Sicherheitsrisiken ohne Wenn und Aber aufzeigt, sondern zusätzlich auch konkrete Lösungsvorschläge unterbreitet. Dell hat praktisch für jede Unternehmensgröße die passenden Sicherheitslösungen parat. Dazu zählen Firewalls der nächsten Generation, SonicWALL-Produkte und Lösungen für die Identitäts- und Zugriffsverwaltung sowie für die E-Mail- und Cloud-Sicherheit. Zudem garantiert der Dell-ProSupport rund um die Uhr an sieben Tagen der Woche professionelle Unterstützung bei allen anfallenden Fragen und Problemen zur kompletten IT-Struktur im Unternehmen.

Wie die IT-Strukturen in Ihrem Unternehmen zu bewerten sind, können Sie schnell und einfach erfahren. Laden Sie sich dafür die Security-Checkliste herunter. So erhalten Sie eine qualifizierte Antwort darauf, wie gut Ihr Unternehmen in puncto Sicherheit aufgestellt ist.

Weiterführende Artikel zum Beitrag: