IDC zu IT-Security

Deutsche Unternehmen sichern zu lasch ab

22.11.2011
Von 


Simon Hülsbömer betreut als Senior Research Manager Studienprojekte in der Marktforschung von CIO, CSO und COMPUTERWOCHE. Zuvor entwickelte er Executive-Weiterbildungen und war rund zehn Jahre lang als (leitender) Redakteur tätig. Hier zeichnete er u.a. für die Themen IT-Sicherheit und Datenschutz verantwortlich.
Von einer langfristigen IT-Security-Strategie über das ganze Unternehmen hinweg sind deutsche Anwender noch weit entfernt.

Angesichts der zunehmenden Zahl dezidierter Attacken auf einzelne Unternehmensnetze ist der Grad der Automatisierung von IT-Sicherheit zu niedrig. Zu diesem Ergebnis kommt die Studie "Sind Ihre sensitiven Daten sicher?", für die die Analysten von IDC im Auftrag des Security-Dienstleisters Tripwire IT-Security-Verantwortliche in 150 deutschen Unternehmen befragten.

Ein Datenabfluss kann unangehme Folgen haben...
Ein Datenabfluss kann unangehme Folgen haben...
Foto: IDC

Immerhin wissen die interviewten Unternehmen ziemlich genau, welche ihrer Unternehmensdaten als besonders kritisch und schützenswert anzusehen sind. Käme es zu einem Abfluss dieser Informationen - beispielsweise durch eine Attacke auf das Unternehmensnetz - hätte das unangenehme Folgen: Über 95 Prozent der Befragten gehen davon aus, dass sich ein Vertrauensverlust beim Kunden und ein negativeres Image des Unternehmens in der Öffentlichkeit einstellen würde. Hinzu kämen Umsatzverluste (67,3 Prozent), Schadenersatz, Wiederherstellungskosten, Vertragsstrafen und höhere Betriebskosten (66,7 Prozent), gesetzliche Strafen und Bußgelder (52,7 Prozent) sowie der Verlust des eigenen Jobs (12,7 Prozent).

Trotz der befürchteten Konsequenzen gibt weniger als die Hälfte der Befragten an, Ursache und Einfallstor eines Angriffs zeitnah lokalisieren zu können. Die knappe Mehrheit der Security-Verantwortlichen fürchtet gar, den Anforderungen, die ein erfolgreiches Ausnutzen einer Schwachstelle im Unternehmensnetz mit sich bringen würde, überhaupt nicht gewachsen zu sein. Die Folge: Die meisten Sicherheitslücken blieben komplett unentdeckt.

Es fehlt an Personal, Wissen und Geld

Der Studie zufolge sind die geringe Personalausstattung (gaben 48,7 Prozent der Befragten zu Protokoll), das fehlende fachliche Know-how (42,7 Prozent) und zu geringe Budgets für neue Technologien (39 Prozent) die Hauptursachen für dieses Versagen.

In neun von zehn deutschen Unternehmen sind zwar die wichtigsten Security-Basisdienste wie Malware-Schutz, Backup-Mechanismen und gelebte Compliance-Vorgaben in Kraft, die genügen gerade in kritischen Infrastrukturen aber zumeist nicht. Tiefergehende Sicherheitsinstrumente wie Auslastungstests oder regelmäßige Audits werden kaum genutzt. 24 Prozent der befragten Security-Verantwortlichen äußerten, derartige Überprüfungen der Zuverlässigkeit und Sicherheit ihrer Netze nie vorzunehmen, in 53 Prozent der Unternehmen finden sie nur einmal jährlich statt.