Die von den CW-Schwesterpublikationen "CIO" und "CSO" gemeinsam mit PricewaterhouseCoopers initiierte Online-Befragung fand bereits zum zweiten Mal statt. Insgesamt gingen dabei rund 8100 Antworten von Verantwortlichen aus 62 Ländern ein.
Sie gaben unter anderem an, im Schnitt rund elf Prozent ihres IT-Budgets für den Schutz der IT-Infrastruktur aufzuwenden. Dabei liegen die Europäer inzwischen vor ihren US-Kollegen, die nur neun Prozent ihres IT-Budgets für Security reservieren. Die Investitionen scheinen zudem mit Bedacht zu erfolgen: Nur so lässt sich erklären, dass bei einer gegenüber dem Vorjahresreport nahezu konstanten Anzahl von Cyber-Attacken (Viren, Würmer und sonstige Vorfälle) über die Hälfte der Unternehmen zwar einräumte, ein- bis neunmal selbst direkt betroffen gewesen zu sein, die Ausfallzeiten insgesamt aber zurückgingen. Eine weitere gute Nachricht: Etwa ein Drittel der Betroffenen (im Vorjahr nur ein gutes Viertel) hatten keinerlei Ausfälle zu verzeichnen. Ebenfalls ein Drittel hat laut eigener Darstellung durch Viren oder Würmer keine finanziellen Schäden erlitten.
Eine mögliche Erklärung hierfür könnte sein, dass die Firmen sich besser vorbereiten: 54 Prozent der Antwortenden bekundeten, ihre Notfall- und Business-Continuity-Pläne im vergangenen Jahr entweder neu erstellt oder aber überarbeitet zu haben. 38 Prozent entwickelten eine Krisenstrategie oder legten fest, wie auf Vorfälle zu reagieren ist.
Konzerne besser vorbereitet
Besonders Konzerne mit einem Umsatz von über 25 Milliarden Dollar sehen die Notwendigkeit solcher Maßnahmen: Derartige Pläne sind in 68 Prozent der in diese Gruppe fallenden Unternehmen vorhanden.
Allerdings versagten die Unternehmen, was die von ihnen in der Vorjahresbefragung genannten Ziele betrifft. 57 Prozent gaben damals an, die Netzsicherheit erhöhen zu wollen. Nur 40 Prozent antworteten jetzt, dies tatsächlich getan zu haben. Ähnlich sieht es mit dem Blocken von unberechtigten Zugriffen aus: Diesen Vorsatz äußerten vergangenes Jahr knapp 60 Prozent der Experten, erfüllt wurde er aber nur in 40 Prozent aller Fälle. Auch bei Themen wie Überwachen der Systemaktivität, Verbessern der Applikationssicherheit, Einsatz von Intrusion-Detection-Tools oder dem Aufspüren unerwünschter Geräte im Netz blieb die Realität zum Teil weit hinter den Absichten zurück. Lediglich beim Einsatz von Applikations- und Netz-Firewalls wurden die gesteckten Ziele übertroffen.
Fehlendes Geld hemmt die Arbeit
Die Studie erklärt die Rückstände nicht explizit. Wahrscheinlich liegen sie zumindest teilweise an Personal- und Budgetknappheit. Es ist eben einfacher, ein Gerät wie eine Firewall zu kaufen und zu installieren, als sich mit komplexen Themen auseinander zu setzen, die vielschichtigere Lösungen erfordern. Dazu braucht man nicht nur Geld, sondern zudem Know-how und Zeit. Hier liegt aber noch einiges im Argen.
Die knappen Kassen sind und bleiben jedoch das Haupthindernis für Anwender: 57 Prozent klagten, fehlendes Geld stehe ihren Bemühungen um mehr IT-Sicherheit am meisten im Weg. Das ist immerhin ein Rückgang um sieben Prozent gegenüber dem Vorjahr. Für 44 Prozent stellen die fehlenden Fachkräfte ein wesentliches Problem dar (Vorjahr: 39 Prozent). An dritter Stelle rangiert in diesem Jahr der zeitliche Druck: 34 Prozent gaben diesen Grund als Hindernis an, rund 13 Prozent weniger als im Jahr davor. (ave)
Abb: Mehr Vorfälle, weniger Schäden
Anwender scheinen die Sicherheit ihrer IT etwas besser im Griff zu haben als noch vor einem Jahr. Quelle: CIO/ESQ/Pricewaterhouse-Coopers