computerwoche.de

Security

Risiko-Management

Deutsche Firmen mit Schwächen

24.05.2007
Von Katharina Friedmann

Neuer Fokus Anwendungssicherheit

Bemerkenswert ist laut Experton Group der hohe Anteil an Firmen (nahezu 89 Prozent), die sich mittlerweile der Absicherung ihrer Anwendungen widmen. "Während IT-Security ursprünglich stark auf Netzsicherheit fokussiert war, hat sich das Augenmerk nun etwas in Richtung Geschäftsanwendungen wie ERP und Web-Applikationen verlagert", kommentiert Wolfram Funk, Senior Advisor bei der Experton Group und Autor der Studie. Noch kaum eine Rolle spielt dagegen die Absicherung von serviceorientierten Architekturen (SOA) und VolP-Anwendungen (28 Prozent beziehungsweise 20 Prozent), was die Analysten primär auf die in Deutschland noch geringe Verbreitung beider Konzepte zurückführen.

Stiefkind Mobile Security

Vor allem in den Bereichen Mobile Security, E-Mail-Verschlüsselung und Security-Information-Management wollen die deutschen Unternehmen stark nachlegen.
Vor allem in den Bereichen Mobile Security, E-Mail-Verschlüsselung und Security-Information-Management wollen die deutschen Unternehmen stark nachlegen.

Ernstzunehmende Sicherheitslücken klaffen den Studienergebnissen zufolge im Mobilbereich. Obwohl in 57 Prozent der befragten Unternehmen Mitarbeiter über mobile Endgeräte wie PDAs oder Smartphones auf das Firmennetz zugreifen, werden die technischen Absicherungsmöglichkeiten noch bei weitem nicht ausgeschöpft, moniert Funk. So erfolge bei einem Viertel der Firmen keine Nutzerauthentifizierung am Endgerät - nicht einmal mittels Einfaktor-Mechanismen wie Nutzer-ID und Passwort. Noch weniger verbreitet sei die Verschlüsselung der Daten auf dem Endgerät. Seltenheitswert haben laut Analyse auch Sicherheitsvorkehrungen wie VPN-Konnektivität (Virtual Private Network), Virenschutz, Personal Firewalls und Intrusion Detection sowie Möglichkeiten zur Fernüberwachung von Applikationen und Konfigurationen.

Der Autor führt die Security-Defizite zum einen darauf zurück, dass es den Anwenderunternehmen bislang an einschlägigen Negativ-Erfahrungen mangelt. Laut Funk liegt der diesbezügliche Leichtsinn aber auch darin begründet, dass sich das Thema Mobility noch vorrangig auf Wireless-E-Mail beziehungsweise das Personal Information Management (PIM) beschränkt und aktuell nur selten die mobile Anbindung von Firmenapplikationen wie CRM oder ERP umfasst. Als dennoch erforderlichen Mindestschutz definiert die Experton Group Passwortschutz, Datenverschlüsselung sowie die Möglichkeit, die mobilen Begleiter etwa im Fall eines Diebstahls von der Firmenzentrale aus deaktivieren zu können. Pflicht seien darüber hinaus klare und transparente Richtlinien in Form einer dedizierten Mobile Security Policy ? ein Thema, das bislang nur 63 Prozent der Unternehmen in Angriff genommen haben.

Anlass zur Hoffnung sehen die Consultants jedoch in den Zukunftsplänen der Unternehmen. Demnach wollen die Firmen zumindest in Datenverschlüsselung, Virenschutz, Intrusion Prevention und Personal Firewalls stark investieren. In zwei bis drei Jahren, so schätzt Funk, dürfte der Leidensdruck der Unternehmen dann groß genug sein, um auch substanziellere Investitionen in Mobile Security voranzutreiben.