Hypes folgen üblicherweise einem Zyklus, der nach einem Höhepunkt wieder abebbt. Nicht so ist das beim Thema IT-Sicherheit, das uns nun schon seit dem ersten Internet-Boom begleitet und die IT-Verantwortlichen auf Trab hält. Während nach dem Platzen der Dotcom-Blase weite Teile der IT-Industrie einen jahrelang wirksamen Rückschlag erlitten, konnte die Sicherheitsbranche weiter expandieren. Nach Schätzungen der Experton Group werden auf dem Markt für Sicherheitsprodukte in Deutschland 2007 insgesamt 2,08 Milliarden Euro umgesetzt, das entspricht einem Wachstum gegenüber dem Vorjahr von 13,4 Prozent.

Ähnliche Zahlen gelten für die IT-Sicherheitsdienstleistungen, die im Vergleich zum Vorjahr um 11,5 Prozent auf 1,86 Milliarden Euro zugelegt haben. Das Wachstum ist also beständig, nur die Themen haben sich im Lauf der Jahre verändert, wie Wolfram Funk, Senior Advisor der Experton Group, erläutert: "Während des E-Business-Hypes wurden Public-Key-Infrastrukturen und die digitale Signatur als Wundermittel gegen IT-Bedrohungen gepriesen, doch weder konnte dafür jemals eine geschäftliche Rechtfertigung erbracht werden noch entstanden massenkompatible Standards." Heute, so Funk, spielen diese Themen nur mehr eine marginale Rolle, und PKI gebe es nur in Nischen.

Laut einer neuen Studie der Experton Group über IT-Sicherheit in Deutschland besteht die wichtigste Aufgabe für Unternehmen derzeit darin, angesichts wechselnder Bedrohungsszenarien und Technologien immer auf dem aktuellsten Stand zu bleiben. Ein alter Zielkonflikt, der laut Experton nach wie vor nicht gelöst ist, ist der zwischen Sicherheit und Bedienbarkeit. Einerseits sollen die Maßnahmen wirksam sein, auf der anderen Seite sollen sie, wenn möglich, nicht den operativen Betrieb stören. Als weitere Herausforderungen identifizierten die Analysten die Bereiche Web-Security, Sensibilisierung der Mitarbeiter und Weiterbildung, Schutz personenbezogener Daten, Compliance-Anforderungen, Spam-Schutz sowie standortübergreifende Vernetzung.

Viren und Malware

Gefragt, welche Sicherheitstechniken sie nutzen, nannten die Teilnehmer durch die Bank Lösungen gegen Viren und Malware sowie Firewalls (100 Prozent). Content-Filtering folgte mit 90 Prozent an zweiter Stelle, auf Remote Access via SSL VPN setzen 78 Prozent. Als häufig verwendete Techniken nennt die Studie auch noch Identity-Management (56 Prozent) und E-Mail-Verschlüsselung (51 Prozent), wobei hier laut Analysten die tatsächliche Umsetzung oft fraglich ist. Mit der Anwendungssicherheit befassen sich mittlerweile 89 Prozent der Anwender. Funk wertet dieses Ergebnis als Zeichen für einen Paradigmenwechsel: "Ursprünglich war IT-Sicherheit sehr stark auf die Netze ausgerichtet, nun aber beobachten wir eine Verlagerung in Richtung Sicherheit von Geschäftsanwendungen wie ERP- und Web-Applikationen."

Bei der Frage nach Technologien, die erst später eingesetzt werden sollen, wurden am häufigsten Mobile Security, E-Mail-Verschlüsselung und Security-Information-Management genannt. Außerdem im Visier der Anwender befinden sich Identity Management und starke Authentifizierung sowie VoIP- und SOA-Security.

Sicherheitsrisiko PDA und Smartphone

Mobile Security wurde in seiner Bedeutung lange falsch eingeschätzt , doch steigt nun die Zahl der Anwender und damit die Relevanz. Aus dem Kreis der befragten Unternehmen gaben 57 Prozent an, dass ihre Mitarbeiter einen PDA oder ein Smartphone nutzen und damit auf Unternehmensanwendungen oder das Firmennetz zugreifen. Wie schon seit Jahren dominieren E-Mail und Personal Information Management (PIM) als populärste mobile Anwendungen, CRM, ERP und andere Lösungen sind eher selten. Sicherheitstechniken dafür existieren mittlerweile zuhauf, werden aber nur ansatzweise genutzt. So erfolgt bei 25 Prozent der Befragten keine Nutzerauthentifizierung, nicht einmal mittels Ein-Faktor-Mechanismen wie Nutzer-ID und Passwort. Noch weniger setzen auf Datenverschlüsselung, sichere VPN-Konnektivität oder Virenschutz. Das schwache Interesse beruht laut Studie auf einem geringen Leidensdruck der Unternehmen, da sich die Schäden hier bisher in Grenzen halten.

Identity-Management: Selten umfassende Lösungen

Zum Identity-Management kommen nur selten umfassende Lösungen in Form von Suiten zum Einsatz. Zu seinen Kernelementen zählt User Provisioning, das 63 Prozent der Befragten betreiben, gefolgt von Auditing und Reporting mit 51 Prozent. Access-Management und Single-Sign-On (SSO) sind bisher seltener, werden aber an Bedeutung gewinnen. Als die drei wichtigsten Motive für Identity-Management nannten die Anwender die Verbesserung der Administrationsprozesse und des Sicherheits-Managements sowie die Erfüllung regulatorischer Anforderungen.

Compliance spielt eine immer wichtigere Rolle, weil kompromittierende Hacker-Angriffe oder Datenschutzvergehen zunehmend auch als Verstöße gegen regulatorische Vorschriften geahndet werden. Zwar erfährt die Öffentlichkeit recht wenig über die Folgen solcher Regel- und Gesetzeswidrigkeiten, aber immerhin 13 Prozent der von Experton befragten Anwender kennen Unternehmen aus ihrer Branche, die mit Sanktionen oder Strafen belegt wurden. Compliance-bezogene Projekte sind trotzdem noch eher dünn gesät, und erst 41 Prozent der Unternehmen haben Security-Maßnahmen getroffen. Das dominierende Thema ist hierbei die Umsetzung von Anforderungen aus dem Bundesdatenschutzgesetz (37 Prozent), gefolgt von Basel II (21 Prozent) und Sarbanes-Oxley (zehn Prozent). Zum Einsatz kommen in diesem Kontext Lösungen für Virenschutz, Identity-Management sowie digitale Signatur.

Als nach wie vor unterschätzt gilt die Bedeutung der IT-Sicherheit für das Gesamtunternehmen, das Topmanagement betrachtet es in den meisten befragten Unternehmen als reine IT-Aufgabe. Damit wird ein strategisches Risiko-Management erschwert, ebenso mangelt es am Informationsaustausch mit den Fachabteilungen. Erst 55 Prozent der Interviewten betreiben punktuelle Risikoanalysen, 41 Prozent setzen ein umfassendes Risiko-Management um und knapp 30 Prozent konzipieren Risiko-Assessments mit den Business-Bereichen.

Security-Dienstleistungen zunehmend gefragt

Security-Dienstleistungen gewinnen an Akzeptanz: Bereits 75 Prozent der teilnehmenden Unternehmen greifen in irgendeiner Form auf externe Dienstleister zurück. Aus dieser Gruppe kaufen 59 Prozent Wartungs- und Supportleistungen, auf den weiteren Plätzen der Services-Skala folgen technologische Beratung, Implementierungs- und Integrationsdienstleistungen, Schwachstellen-Audits und Sicherheitstrainings für IT-Personal und Anwender. Verstärkt wollen die Anwender zukünftig Dienste wie Schwachstellen-Audits sowie Security-Strategie und -Prozessberatung von externen Dienstleistern beziehen. Recht gering ausgeprägt ist hingegen hierzulande noch das Interesse an Managed Security Services.