IDC-Studie Mobile Security in Deutschland

Unternehmen zwischen Business Enablement und Absicherung

Manfred Bremmer beschäftigt sich mit (fast) allem, was in die Bereiche Mobile Computing und Communications hineinfällt. Bevorzugt nimmt er dabei mobile Lösungen, Betriebssysteme, Apps und Endgeräte unter die Lupe und überprüft sie auf ihre Business-Tauglichkeit. Bremmer interessiert sich für Gadgets aller Art und testet diese auch.
Einer aktuellen IDC-Studie zufolge gehen deutsche Unternehmen die Absicherung ihrer mobilen IT deutlich abgeklärter an als früher, auch in Hinblick auf die im Mai 2018 in Kraft tretende Datenschutz-Grundverordnung (DSGVO). Gleichzeitig hat sich aber auch die Sicherheitslage in Bezug auf mobile Technologien gegenüber 2015 weiter verschärft.

Durch die zunehmende Mobilisierung von Geschäftsprozessen und die Erschließung neuer Mobility-Use-Cases werden Smart Devices zu noch wertvolleren Informationsträgern. Dies rückt sie allerdings auch stärker in das Fadenkreuz von Cyberkriminellen, wie die IDC Studie "Mobile Security in Deutschland 2017" ergab. So machten 65 Prozent der befragten Unternehmen bereits Erfahrungen mit Angriffen auf mobile Endgeräte, das ist ein Anstieg um acht Prozentpunkte gegenüber 2015 - die Dunkelziffer an unentdeckten Vorfällen nicht berücksichtigt.

Die Bereitstellung oder Unterstützung von Smartphones, Tablets & Co. im Business genügt nicht, die mobilen Devices und Lösungen müssen auch abgesichert werden.
Die Bereitstellung oder Unterstützung von Smartphones, Tablets & Co. im Business genügt nicht, die mobilen Devices und Lösungen müssen auch abgesichert werden.
Foto: Eugenio Marongiu - shutterstock.com

Die gute Nachricht der Untersuchung, in deren Rahmen IDC im Dezember 2016 knapp 260 IT-Entscheider und Anwender aus hiesigen Unternehmen befragte: Immer mehr Firmen haben erkannt, dass die Bereitstellung oder Unterstützung von Smartphones, Tablets & Co. im Business nicht ausreicht, sondern dass die mobilen Devices und Lösungen auch abgesichert werden müssen.

So zählen in der Umfrage die Sicherstellung der Compliance auf mobilen Endgeräten (31 Prozent) sowie die Verbesserung der Mobile Security (28 Prozent) zu den wichtigsten Enterprise-Mobility-Projekten in 2017 - neben der Anpassung der Geschäftsprozesse an mobile Szenarien (34 Prozent) und der Umsetzung eines einheitlichen Zugriffs auf Anwendungen (30 Prozent).

Das Setzen dieser Agenda-Punkte geschieht natürlich nicht ganz ohne Grund. Laut IDC-Umfrage erlitten 26 Prozent der Unternehmen im vergangenen Jahr einen Schaden von mehr als 100.000 Euro durch Sicherheitsvorfälle mit mobilen Technologien. Hinzu kommen finanziell schwer zu beziffernde Schäden in Hinblick auf Reputation und Vertrauen, die Kunden oftmals hartnäckig im Gedächtnis bleiben.

Damokles-Schwert Datenschutz-Grundverordnung

Auch in Hinblick auf die neue Datenschutz-Grundverordnung (DSGVO) hat die Untätigkeit für Unternehmen schon bald verheerende Konsequenzen. Nach Ablauf der Übergangsfrist Ende Mai 2018 können Datenschutzbehörden Bußgelder von maximal 20 Millionen Euro oder vier Prozent des globalen Umsatzes erheben.

"Die Verletzungen im Datenschutz stehen damit auf einer Stufe mit Bußgeldern für Geldwäsche oder Korruption", erläutert Mark Alexander Schulte, Senior Consultant bei IDC und Projektleiter der Studie die möglichen Konsequenzen. "Auch die Meldepflicht von Sicherheitsbrüchen wird aus unserer Sicht dazu führen, dass sich die Gewährleistung des Datenschutzes von einer IT-Aufgabe zu einem Thema der Vorstandsetagen entwickeln und Security-Investitionen massiv antreiben wird."

Die erfolgsversprechendsten Maßnahmen zur Umsetzung der DSVGO aus Sicht der Befragten
Die erfolgsversprechendsten Maßnahmen zur Umsetzung der DSVGO aus Sicht der Befragten
Foto: IDC

Immerhin: In der Umfrage äußerten sich die befragten Firmen durchaus optimistisch darüber, das Anwendungsdatum einhalten zu können. Bei nur fünf Prozent der IT-Entscheider ist das Thema noch nicht präsent, während sich 74 Prozent derzeit auf die Umsetzung der DSGVO vorbereiten. Aus Sicht der befragten Organisationen sind dabei die Einschränkung des Datenzugriffs, angepasste Sicherheits-Policies und klar geregelte Verantwortlichkeiten die wirksamsten Maßnahmen, um DSGVO-konform zu werden und mit diesen Maßnahmen mehr Kontrolle und Transparenz über die Verwendung von Firmeninformationen zu erhalten.

Sicherheitsrisiko Mitarbeiter

Für die Experten von IDC greifen die Maßnahmen allerdings etwas zu kurz, die Rolle der Anwender dürfe nicht unterschätzt werden, warnen sie. So erfordere die neue Datenschutzverordnung durch das Prinzip "Data Protection by Design and by Default" ein deutlich proaktiveres Handeln. Diese müsse bereits bei der Entstehung von personenbezogenen Daten ansetzen und erfordere auch im Bereich der Mobile Security darauf basierend geeignete Prozesse und Technologien.

In diesem Zusammenhang kommt besonders zum Tragen, dass der mobile Zugriff auf personenbezogene Informationen, etwa über CRM-Apps für Fachbereichsmitarbeiter, ein wesentlicher Produktivitätsfaktor geworden ist. So können im Schnitt 30 Prozent der Mitarbeiter eines Unternehmens über ein Smart Device auf Kundendaten zugreifen. Demgegenüber kennt gerade einmal die Hälfte aller Anwender die Inhalte der Datenschutz-Grundverordnung, beispielsweise im Hinblick auf die Konsequenzen einer Weitergabe personenbezogener Daten. Falls Unternehmen hier nicht handeln, warnt IDC, sind Probleme bei der Einhaltung der DSGVO bereits vorprogrammiert.

Untermauert wird diese Sicht mit Ergebnissen aus der Studie, wonach viele Unternehmen das von Anwendern ausgehende Sicherheitsrisiko noch immer nicht in den Griff bekommen haben: Wie bereits 2015 gehen nämlich satte 45 Prozent der Sicherheitsvorfälle im Umgang mit mobiler Technologie auf das Konto der Fachbereichsmitarbeiter.

Außerdem öffnete das Fehlverhalten der Anwender, etwa durch die Reaktion auf Phishing-Mails, Downloads unsicherer Apps oder Geräteverluste auch in den vergangenen Monaten Angreifern Tor und Tür. Dies führte sogar soweit, dass 52 Prozent der IT-Entscheider in der Umfrage angaben, dass von den unternehmensinternen Anwendern sogar eine größere Gefahr als von Cyber-Kriminellen ausgehe.