Überfordert mit Cloud, Mobile und Social Media

In die Wolke bewegen sich die Anwender immer mehr. Heraus aus dem Nebel sollten sie sich allerdings dringend in Sachen Sicherheit bewegen, raten die Analysten von Ernst & Young. „Into the Cloud, out of the Fog“ haben die Wirtschaftsprüfungsexperten deshalb ihre weltweite Studie zur IT-Sicherheit überschrieben. Sie zeigt jede Menge Defizite in den Unternehmen auf, was von Anwenderseite offenbar auch erkannt wird. So planen 59 Prozent der befragten Firmen für 2012 eine deutliche Erhöhung ihres Security-Budgets. Die Quintessenz der Studie allerdings lautet: Das alleine wird nicht reichen.

Cloud Computing, Mobile IT und Social Media sind die Megatrends, die jeweils auf besondere Weise die Anfälligkeit der Unternehmensdaten erhöhen. Klassische Probleme wie Prävention von Datenverlust, Business Continuity Management (BCM) und Risikomanagement haben parallel keineswegs an Brisanz verloren. Mehr Geld für Lösungen ausgeben hilft nach Einschätzung von Ernst & Young bei der Bewältigung dieser Herausforderungen alleine nicht weiter. Zumal Paul van Kessel, Global Leader der IT Risk-Abteilung bei Ernst & Young, eine wachsende Kluft zwischen Business-Anforderungen und dem Beitrag der IT-Sicherheitsexperten für die Unternehmen feststellt. „Wir schlagen vor, zu den Basics zurückzukehren“, schreibt van Kessel in der Studie. „Und eine klare Agenda zur Strategie und Verbesserung der IT-Security festzulegen, die aus dem Nebel herausführt.“

Es braucht demnach tragfähige Konzepte zur Sicherung der Unternehmensdaten, weil Unternehmensgrenzen immer mehr im virtuellen und digitalen Irgendwo verschwimmen. Das strategische Defizit beschreiben die Analysten bereits auf der grundsätzlichen Ebene: 72 Prozent der Befragten sehen sich immer größeren externen Bedrohungen ausgesetzt; 46 Prozent beobachten wachsende Anfälligkeit auch intern. Trotzdem hat laut Studie nur etwa jedes dritte Unternehmen im vergangenen Jahr seine IT-Security-Strategie überprüft.

Konsequenterweise geht die Mehrheit der Befragten davon aus, dass das Sicherheitskonzept nicht mehr die Bedürfnisse des Business erfüllt. Woran liegt das? 17 Prozent erklären sich das Problem mit einem zu geringen Budget; 13 Prozent beklagen einen Mangel an qualifizierten Mitarbeitern; 9 Prozent vermissen die Unterstützung von Vorstand und Geschäftsführung. Ernst & Young empfiehlt vor diesem Hintergrund, IT-Sicherheit anhand klarer strategischer Konzepte zum Thema im Vorstand zu machen, das Thema tagtäglich in den Köpfen der Mitarbeiter zu verankern und Interesse dafür anhand brisanter Angelegenheiten wie Kundendaten oder geistigem Eigentum zu wecken.

Best in Cloud - Die Gewinner
Die COMPUTERWOCHE präsentiert Ihnen die Gewinner des "Best in Cloud"-Awards 2011

Infrastructure as a Service (IaaS)
Der Gewinner des Best in Cloud - Awards 2011 in der Kategorie "Infrastructure as a Service (IaaS)" ist:

BT (Germany) GmbH & Co. oHG
BT bietet in Deutschland seit 1995 Dienstleistungen für Firmenkunden an und hat sich zu einem Anbieter für globale Netzwerk- und IT-Services entwickelt. Ein Schwerpunkt liegt dabei auf international tätigen Unternehmen mit verteilten Standorten, die komplexe Anforderungen an die Netzwerkinfrastruktur haben. <br>Projekt: Virtual Data Centre - Private-Cloud-Projekt mit MPLS-Anbindung im BT Data Centre.

Platform as a Service (PaaS)
Der Gewinner des Best in Cloud - Awards 2011 in der Kategorie "Platform as a Service (PaaS)" ist:

Infopark
Infopark bietet seinen Kunden webbasierte Informationssysteme an. Im Fokus stehen dabei onlinebasierte Content-Management- und CRM-Lösungen. Das Unternehmen ist weltweit tätig, hat aber seinen Vertriebsschwerpunkt im deutschsprachigen Raum. <br>Projekt: Airport Nürnberg auf Wolke 7 – Webauftritt, CMS und WebCRM als Plattform aus der Cloud.

Software as a Service (SaaS) - Public Cloud
Der Gewinner des Best in Cloud - Awards 2011 in der Kategorie "Software as a Service (SaaS) - Public Cloud" ist:

forcont Business Technology GmbH
forcont ist ein auf Enterprise Content Management (ECM) spezialisiertes Softwarehaus mit Hauptsitz in Leipzig. Das Unternehmen bietet standardisierte Anwendungen und skalierbare Projektlösungen zur Steuerung von Geschäftsprozessen an. Diese können von den Kunden wahlweise auch als Software as a Service genutzt werden. <br>Projekt: Elektronische Personalakte als SaaS-Angebot.

Software as a Service (SaaS) - Private Cloud
Der Gewinner des Best in Cloud - Awards 2011 in der Kategorie "Software as a Service (SaaS) - Private Cloud" ist:

Zendesk
Zendesk wurde 2007 in Kopenhagen gegründet. Das Unternehmen bietet eine Cloud-basierte Help Desk Software an. Neben einem Ticket-System können die Kunden auch eine Online-Plattform des Anbieters für eigene Service-Angebote nutzen.

Software as a Service (SaaS) - Hybrid Cloud
Der Gewinner des Best in Cloud - Awards 2011 in der Kategorie "Software as a Service (SaaS) - Hybrid Cloud" ist:

SupplyOn AG
Im Jahr 2000 wurde SupplyOn von international tätigen Automobilzulieferunternehmen mit dem Ziel gegründet, den gesamten Produktentstehungsprozess mithilfe einer Internet-Plattform für Lieferanten zu vereinfachen. Der Hauptsitz des Anbieters ist in Halbergmoos bei München. <br> Projekt: Collaboration-Plattform für die Automobil- und Fertigungsindustrie; hier mit Hybrid-Cloud-Projekt “AirSupply” vertreten, das europäischen Luftfahrtunternehmen ein einheitliches Supplier-Portal zur Verfügung stellt.

Cloud Enabling Software
Der Gewinner des Best in Cloud - Awards 2011 in der Kategorie "Cloud Enabling Software" ist:

Fujitsu
Fujitsu Technology Solutions (FTS) zählt in Europa zu einem der führenden IT-Anbieter. Das Angebotsspektrum reicht von Notebooks und Tablet PCs bis hin zu Mainframes und kompletten IT-Infrastrukturlösungen aus der Cloud. FTS beschäftigt mehr als 10.000 Mitarbeiter und ist Teil der globalen Fujitsu Gruppe. <br>Projekt: Diperia - Digitale Personalakte: Ein Webangebot, gestrickt für Kendox.

Sonderprojekte
Der Gewinner des Best in Cloud - Awards 2011 in der Kategorie "Cloud Special Project" ist:

Ubigrate GmbH
Das Unternehmen Ubigrate ist ein Anbieter für Business Activity Monitoring (BAM) in Produktion und Logistik. Die Lösung Geqoo Boxes unterstützt Firmen beim Umgang mit wiederverwendbaren Behältern. <br> Projekt: Einsatz eines Behältermanagementsystems – SaaS-Lösung für das Verwalten von Behältern, die Pool Packaging vermietet.

Das Grundübel einer oft zu langsamen strategischen Anpassung zeigt die Studie auch anhand der einzelnen Großthemen auf. Tablets als jüngster Träger des Mobility-Booms werden demnächst in 80 Prozent der Firmen im Einsatz sein; 14 Prozent unterstützen die Arbeit mit den Mini-Rechnern schon jetzt. Gleichwohl fehlt es weithin an der nötigen Absicherung. Dass 57 Prozent der Befragten ihre Richtlinien mittlerweile verändert haben und 52 Prozent aktiv das Sicherheitsbewusstsein der Mitarbeiter fördern, wertet Ernst & Young hier als die einzig positiven Befunde.

Mehrheit ohne Cloud-Kontrollen

„Der Einsatz von Security-Techniken und Software im sich schnell verändernden Mobile Computing-Markt ist gleichwohl immer noch niedrig“, lautet das Verdikt der Analysten. So habe nicht einmal die Hälfte der Firmen Verschlüsselungstechnologien an Bord. Genau diese hält Ernst & Young aber neben Governance und Richtlinien für fundamental. Dringend raten die Experten auch dazu, mobile Apps vor ihrer Anwendung gründlich mit Testangriffen auszutesten.

Ein weiteres Wachstumsfeld mit Schädlingsgefahr ist Cloud Computing. 61 Prozent der Befragten nutzen, evaluieren oder planen den Einsatz von Cloud-Services – im vergangenen Jahr waren es lediglich 45 Prozent. Die Risiken für Compliance und Privacy, Informationssicherheit und Datenintegrität, Governance und Risikomanagement, Zuverlässigkeit und Kontinuität, Integration und Interoperabilität sowie auf vertraglichem und rechtlichem Feld scheinen inzwischen zwar weithin bekannt. Immerhin nennen die Befragten Cloud Computing unter insgesamt 16 Angeboten am häufigsten als Bereich mit Bedarf nach einer Budgeterhöhung.

Dennoch sorgt sich Ernst & Young darüber, ob die Dimension des Problems tatsächlich erfasst wurde. „Der Weg in die Wolke ist nicht einfach nur ein weiteres Change-Programm“, heißt es in der Studie. „Es ist nichts anderes als eine komplette Verlagerung von Geschäftsprozessen – inklusive aller damit verbundenen Risiken.“

Die Indizien für diese Bedenken sind offensichtlich: 48 Prozent räumen schwere Probleme in der Implementierung ein; 52 Prozent haben nach eigenen Angaben überhaupt keine spezifischen Sicherheitskontrollen eingebaut. Nur jeweils etwa ein Fünftel hat die gängigsten Instrumente implementiert: stärkere Kontrolle beim Vertragsmanagement, mehr Due Diligence von Service-Anbietern, strengere Identitäts- und Zugangskontrollen und Verschlüsselung.

90 Prozent der Befragten sprechen sich angesichts der bestehenden Unsicherheit für eine Zertifizierung von Cloud-Anbietern aus. Ernst & Young bläut den Anwendern ein, dass in diesem Fall Verifizierung über voreiliges Vertrauen geht. Vor einem Vertragsabschluss sollte klar sein, welche Partei welche Risiken trägt. Transparenz in Backup-Fragen sei ebenfalls unabdingbar.

Probleme mit Risk Management-Tools

Bei Social Media fährt immer noch eine Mehrheit der Firmen einen rigiden Kurs. 53 Prozent gewähren in ihrem Unternehmen gar keinen oder nur eingeschränkten Zugang zu sozialen Netzwerken. Eine andere Antwort zwar als in den beiden anderen Fällen, aber nach Ansicht von Ernst & Young ebenfalls zu kurz gedacht. Denn das Potenzial von Social Media kann auf diesem Weg selbstredend nicht ausgeschöpft werden. „Organisationen könnten darüber nachdenken, die Aktivitäten ihrer Mitarbeiter auf diesen Seiten stärker zu beobachten anstatt den Zugriff einzuschränken“, heißt es in der Studie.

Licht und Schatten wechseln sich auch in den weiteren Security-Segmenten ab. Ganze zwei Drittel der Firmen haben keine Tools zur Vermeidung von Datenverlust im Einsatz; immerhin haben demgegenüber 74 Prozent Richtlinien zur Klassifizierung und Handhabung sensibler Daten aufgestellt. BCM (Business Continuity Management) und Disaster Recovery haben in 36 Prozent der Firmen höchste Ausgabenpriorität, das Stopfen von Datenlecks und Compliance-Monitoring folgen mit 13 und 10 Prozent.

In Sachen Risikomanagement hält ebenfalls eine Mehrheit von 56 Prozent die derzeitige Sicherheitsstrategie für optimierungsbedürftig. Neben den Defiziten der Anwender verursachen hier aber auch die Anbieter virulente Probleme. So beklagen 31 Prozent, dass kürzlich gekaufte Lösungen fehlgeschlagen seien oder die Erwartungen nicht erfüllten. 84 Prozent der Unternehmen sehen beim Risikomanagement akuten Handlungsbedarf.

Für die Studie „Into the Cloud, out of the Fog: Ernst & Young’s 2011 Global Information Security Survey” wurden 1700 Entscheider in 52 Ländern befragt.

Dieser Artikel basiert auf einem Beitrag unserer Schwesterpublikation CIO. (ph)