Unternehmen geben mehr Geld für die Sicherheit ihrer IT aus. Fast die Hälfte der im Rahmen einer Studie befragten Anwender äußerten, dass ihre Security-Budgets dieses Jahr steigen, bei über einem Fünftel davon sogar in zweistelliger Höhe. Im Durchschnitt macht der Anteil des Sicherheitsbudgets an den Gesamtausgaben für IT rund 17 Prozent aus und ist damit gegenüber dem Vorjahreswert von 13 Prozent deutlich gewachsen. Das ist eines der Resultate einer weltweiten Erhebung, für die 7791 Anwender (in erster Linie CEOs, CFOs, CIOs und CSOs) aus 50 Ländern befragt wurden. Die Studie "The Global State of Information Security" wurde gemeinsam von den computerwoche-Schwesterpublikationen "CIO", "CSO" und dem Beratungsunternehmen Pricewaterhouse-Coopers (PwC) erstellt.
Große Firmen im Visier
Sie erbrachte zudem, dass große Unternehmen häufiger Opfer von Cyber-Attacken werden als kleine oder mittelständische Firmen: Nur 16 Prozent der Konzerne gaben an, bisher verschont geblieben zu sein. Demnach ist es nur logisch, dass der Stellenwert der Sicherheit mit der Größe der Organisation steigt. So teilten 38 Prozent der befragten Großunternehmen mit, mehr als eine Million Dollar für die Sicherheit ihrer IT auszugeben (mittlere Unternehmen: 19 Prozent, kleine Unternehmen: vier Prozent). 28 Prozent dieser Gruppe beschäftigen mehr als elf Sicherheitsspezialisten, und 42 Prozent davon haben einen Chief Information Security Officer (CISO).
Die Großen haben auch die Nase vorn, was strategische und technische Maßnahmen betrifft: 47 Prozent trennen nicht zwischen physikalischer Sicherheit und IT-Security (und haben dadurch einen besseren Gesamtüberblick), 61 Prozent haben eine Sicherheitsstrategie formuliert, und 64 Prozent praktizieren regelmäßige Security-Audits. Glaubt man den Aussagen der Befragten in den Konzernen, so setzt die Hälfte bereits Tools für das Aufspüren von bösartigem Code ein. Patch-Management-Lösungen sind in 47 Prozent der Firmen vorhanden und 46 Prozent fühlen ihrer Infrastruktur mit Schwachstellen-Scannern auf den Zahn.
Bei der Frage nach den Prioritäten in Sachen Sicherheit zeigte sich, dass die wichtigsten Vorhaben für Security-Profis eher dem Bereich Routineaufgaben zuzuordnen sind: Am häufigsten genannt wurden die Themen Backup, Netz- und Application-Firewalls sowie Passwort-Management. Dagegen haben eher strategische Themen wie das Erstellen von Business-Continuity- und Notfallplänen an Bedeutung verloren.
Compliance ein heikles Thema
Das Entwickeln einer übergreifenden Sicherheitsstrategie, im letzten Jahr noch auf Platz vier der Prioritätenliste, tauchte in diesem Jahr gar nicht mehr auf. Dabei scheint gerade hier noch Handlungsbedarf zu bestehen: Nur 37 Prozent der Unternehmen verfügen über ein derartiges umfassendes Konzept.
Immerhin findet sich auf Platz zehn der wichtigsten Aufgaben das Überwachen der Compliance mit Hilfe einer Security Policy, gleichauf mit Sensibilisierungsmaßnahmen für Mitarbeiter (letztes Jahr noch auf Platz zwei). Gerade das Thema Compliance scheint den Unternehmen zu schaffen zu machen: Viele der Befragten gaben zu, gegen Gesetzesvorgaben zu verstoßen. So erklärten beispielsweise 45 Prozent der Umfrageteilnehmer, sie müssten die Datenschutzdirektive der Europäischen Union erfüllen - was sie jedoch nicht tun.
Ein weiteres Ergebnis der Studie dürfte vor allem für Unternehmen interessant sein, die mit dem Auslagern ihrer IT oder Teilen davon liebäugeln: Um die IT-Sicherheit ist es gerade im Outsourcing-Mekka Indien nicht besonders gut bestellt. Viele dort ansässige Firmen beachten nicht einmal die grundlegendsten Sicherheitsmaßnahmen und sind vor ernsten Angriffen nicht oder nur unzureichend geschützt. (ave)