Was ist ein neues Angriffsszenario? Diese Frage hatte Matthias Zacher, Senior Consultant des Marktforschungsunternehmens IDC Central Europe GmbH, zu beantworten. Denn dieser Punkt steht auf der Prioritätenleiste der deutschen IT-Security-Manager ganz oben - zumindest nach den Ergebnissen einer gerade vorgestellten IDC-Studie.
Dafür hatten die Marktforscher 202 IT-Sicherheits-Experten aus deutschen Unternehmen mit mehr als 100 Mitarbeitern befragt. Und 42 Prozent davon nannten die Abwehr neuer Angriffsszenarien als eines der Themen, das ihnen den Schlaf raubt. Die IDC-Berater verstehen darunter Bedrohungen, die erst während der Nutzung eines Systems ihr Gesicht zeigen - beispielsweise wenn eine Applikation vernetzt oder neu konfiguriert wird.
Wie Zacher erläuterte, entstehen Gefahren für die Sicherheit von IT-Systemen auf drei Ebenen: bereits während der Programmierung, durch ein falsches Konzept, durch mangelhafte Konfiguration oder durch menschliches Fehlverhalten. Oft sei es aber auch ein Mix aus verschiedenen Komponenten, der ein System am Ende unsicher machen - beispielsweise dann, wenn ein Programmierfehler nur innerhalb einer bestimmten Konfiguration seine Schadenswirkung entfaltet.
Anforderungen and die Cloud-Provider
Den Spitzenplatz auf der Liste der Herausforderungen teilen sich die neuen Bedrohungszenarien in der IDC-Studie mit dem Thema "Cloud Security. Dass hier Vieles schief laufen kann, will Zacher überhaupt nicht abstreiten. Allerdings bemängelt er, dass die Unternehmen zu selten differenzieren. "Es könnte immer etwas passieren, aber wichtig als die technischen Aspekte ist die Frage, welche Auswirkungen es hat, wenn etwas passiert."
Dennoch stellen die Anwender durchaus technische Anforderungen an die Cloud-Provider. Besonders wichtig (mit jeweils zwei Fünfteln Zustimmung) erscheinen ihnen eine starke Authentifizierung und Zugriffskontrolle sowie die Implementierung von Best-Practice-Lösungen. Fast ebenso häufig genannt wurde die Verschlüsselung der Kommunikation zwischen Cloud-Anbieter und -Nutzer sowie zwischen unterschiedlichen Cloud-Standorten.
Sicherheit trotz mobiler Geräte
Der dritte Punkt, der den IT-Security-Managern Kopfschmerzen bereitet, ist dieSicherheit mobiler Endgeräte. In dem Maße, wie Unternehmensformationen über öffentlich mobile Netze fließen, wächst die Gefahr, dass sie unterwegs abgefangen werden. Zwar haben drei von fünf Unternehmen bereits eine Security-Policy; doch ob sie auch eingehalten wird, ist eine ganz andere Frage. Zudem erinnerte Zacher daran, dass Sicherheit ohnehin nur eine Momentaufnahme sein könne, also auch eine Policy ständig up to date gehalten werden müsse.
Zwei Punkte erachtet der IDC-Berater in diesem Zusammenhang als wichtig. Zum einen müssten die Unternehmen das Thema Device-Management ernst nehmen. Zum anderen empfehle es sich, die Daten weitgehend zentral im Rechenzentrum zu halten.
Das größte Risiko ist der Mitarbeiter
Die Frage nach den größten Risikopotenzialen innerhalb des Unternehmens beantworten die Umfrageteilnehmer - unter ihnen rund 42 Prozent IT-Chefs - mit dem mangelnden Sicherheitsbewusstsein der Mitarbeiter und vorsätzlichem Fehlverhalten der Nutzer. Erst dahinter rangieren Verlust oder Diebstahl von Notebooks, Smartphones und USB-Sticks. Folgerichtig wurden die Mitarbeiter mit großem Abstand als das schwächste Glied der Security-Kette ausgemacht.
Ins Bild passt auch, dass sich die Befragten gegen Angriffe von außen besser geschützt sehen als gegen Bedrohungen von innen. 81Prozent sagten, sie fühlten sich gegen Eindringlinge "absolut" oder "inhohem Maße" sicher. Hinsichtlich der internen Sicherheitsrisiken mochten das nur 67 Prozent behaupten.
Zacher deutete an, dass er diese Einschätzung für etwas zu optimistisch halte. Das gilt wohl auch für die von 72 Prozent der Befragten geäußerte Behauptung, noch nie sei ein Sicherheitsangriff auf ihr Unternehmen erfolgreich gewesen. Nur 21 Prozent räumten ein, bereits einmal das Opfer eines Spyware-, Malware- oder anderen Sicherheitsangriffs gewesen zu sein. Sieben Prozent räumten immerhin ein, sie wüssten es nicht.
Anwender schauen auf den Preis
Bei der Auswhal eines IT-Security-Anbieters zählt für die meisten der Befragten in erster Linie der Preis. 42 Prozent nannten ihn als das wichtigste Kriterium. Kriterien wie Referenzen, Erfahrungen des Anbieters und eigene Erfahrungen mit dem Anbieter sowie Sicherheitszertifikate, beispielsweise nach ISO 27001, folgen auf den Plätzen.