Angesichts sich ständig wandelnder Bedrohungsszenarien sowie neuer Technikkonzepte fällt es Unternehmen zunehmend schwerer, ihre Schutzmaßnahmen auf dem aktuellsten Stand zu halten. Nach der Analyse "IT-Security-Agenda 2007+ -Schlüsselthemen und Trends in Deutschland" der Experton Group wird der viel zitierte Wettlauf zwischen Hase und Igel in der deutschen Firmenlandschaft als größte künftige Herausforderung im Bereich IT-Sicherheit wahrgenommen.
Hier lesen Sie
wo für deutsche Unternehmen die Herausforderungen im Bereich IT-Sicherheit sehen;
welche Security-Themen die Firmen verstärkt adressieren wollen;
in welchen Bereichen Nachholbedarf besteht;
wie die Organisationen in Sachen Investitionen und Beschaffung vorgehen.
591738: Europas IT-Profis fürchten Datenlecks mehr als Viren und Hacker;
582721: Die deutsche Security-Szene birgt noch Potenzial;
582668: CIOs kämpfen mit der Komplexität der IT-Security;
589898: Firmen bereiten Mitarbeiter unzureichend auf IT-Sicherheit vor.
Um herauszufinden, wie die hiesigen Unternehmen diese Sisyphusaufgabe angehen, hat das Münchner Marktforschungs-und Beratungshaus 150 deutsche Anwenderunternehmen unterschiedlicher Größen und Branchen nach ihren aktuellen und geplanten Aktivitäten im Bereich IT-Security befragt.
Pralles Aufgabenpaket
Zu den großen Herausforderungen, mit denen sich die Firmen hierzulande konfrontiert sehen, zählen neben der zeitnahen Anpassung des firmeneigenen Bollwerks an neue Gefahren das Thema Web-Security, die Sensibilisierung und Weiterbildung der Mitarbeiter sowie der Schutz personenbezogener Daten. Ebenso gefordert fühlen sich die befragten Unternehmen im Hinblick auf Compliance-Vorgaben, den fortlaufenden Kampf gegen elektronischen Werbemüll sowie die sichere standortübergreifende Vernetzung.
Bei den technischen Mitteln, mit denen die Unternehmen die Herausforderungen adressieren, sind vor allem Virenschutzlösungen und Firewalls inzwischen Commodity geworden. Auch der Einsatz von E-Mail-Verschlüsselung (51 Prozent) und Identity-Management (IdM) (56 Prozent) ist bereits signifikant – offen bleibt den Analysten zufolge allerdings, wie umfassend die beiden Mechanismen in der Praxis umgesetzt werden. Das IdM-Engagement beschränkt sich derzeit noch weitgehend auf Einzelkomponenten wie das User Provising - 63 Prozent der befragten Organisationen haben dies in irgendeiner Form implementiert - und Funktionen für das Auditing und Reporting (51 Prozent). Wenig verbreitet sind hingegen Elemente des Access-Managements sowie Single Sign-on (SSO). Hier wollen die Firmen aber stark aufholen. Konkrete Pläne in Sachen IdM hegen den Umfrageergebnissen zufolge vor allem der gehobene Mittelstand und Großunternehmen, die sich davon eine Verbesserung der Administrationsprozesse sowie des Security-Managements, aber auch Unterstützung bei der Erfüllung gesetzlicher und regulatorischer Auflagen versprechen.
Bemerkenswert ist laut Experton Group der hohe Anteil an Firmen (nahezu 89 Prozent), die sich der Absicherung ihrer Anwendungen widmen. "Während IT-Security ursprünglich stark auf Netzsicherheit fokussiert war, hat sich das Augenmerk nun etwas in Richtung Geschäftsanwendungen wie ERP und Web-Applikationen verlagert", kommentiert Wolfram Funk, Senior Advisor bei der Experton Group und Autor der Studie. Noch kaum eine Rolle spielt dagegen die Absicherung von serviceorientierten Architekturen (SOA) und VolP-Anwendungen (28 Prozent beziehungsweise 20 Prozent), was die Analysten primär auf die in Deutschland noch geringe Verbreitung beider Konzepte zurückführen.
Stiefkind Mobile Security
Ernstzunehmende Sicherheitslücken klaffen den Studienergebnissen zufolge im Mobilbereich. Obwohl in 57 Prozent der befragten Unternehmen Mitarbeiter über mobile Endgeräte wie PDAs oder Smartphones auf das Firmennetz zugreifen, werden die technischen Absicherungsmöglichkeiten noch bei weitem nicht ausgeschöpft, moniert Funk. So erfolge bei einem Viertel der Firmen keine Nutzerauthentifizierung am Endgerät - nicht einmal mittels Einfaktor-Mechanismen wie Nutzer-ID und Passwort. Noch weniger verbreitet sei die Verschlüsselung der Daten auf dem Endgerät. Seltenheitswert haben laut Analyse auch Sicherheitsvorkehrungen wie VPN-Konnektivität (Virtual Private Network), Virenschutz, Personal Firewalls und Intrusion Detection sowie Möglichkeiten zur Fernüberwachung von Applikationen und Konfigurationen.
Zu wenig schlechte Erfahrungen
Der Autor führt die Security-Defizite zum einen darauf zurück, dass es den Anwenderunternehmen bislang an einschlägigen Negativ-Erfahrungen mangelt. Laut Funk liegt der diesbezügliche Leichtsinn aber auch darin begründet, dass sich das Thema Mobility noch vorrangig auf Wireless-E-Mail beziehungsweise das Personal Information Management (PIM) beschränkt und aktuell nur selten die mobile Anbindung von Firmenapplikationen wie CRM oder ERP umfasst. Als dennoch erforderlichen Mindestschutz definiert die Experton Group Passwortschutz, Datenverschlüsselung sowie die Möglichkeit, die mobilen Begleiter etwa im Fall eines Diebstahls von der Firmenzentrale aus deaktivieren zu können. Pflicht seien darüber hinaus klare und transparente Richtlinien in Form einer dedizierten Mobile Security Policy – ein Thema, das bislang nur 63 Prozent der Unternehmen in Angriff genommen haben.
Anlass zur Hoffnung sehen die Consultants in den Zukunftsplänen der Unternehmen. Demnach wollen die Firmen zumindest in Datenverschlüsselung, Virenschutz, Intrusion Prevention und Personal Firewalls stark investieren. In zwei bis drei Jahren, so schätzt Funk, dürfte der Leidensdruck der Unternehmen dann groß genug sein, um auch substanziellere Investitionen in Mobile Security voranzutreiben.
Der Untersuchung zufolge werden auf IT-Sicherheit bezogene Investitionsentscheidungen bei den hiesigen Firmen zunehmend in einem spezifischen "Buying Center" getroffen, das sich aus verschiedenen Funktionsträgern zusammensetzt. Wichtige Entscheider sind demnach Vertreter des Top-Managements und der IT-Chef – erst mit deutlichem Abstand folgt der Verantwortliche für IT-Security. Erstaunlich häufig sind dagegen der Datenschutzbeauftragte sowie Vertreter von Fachabteilungen in den Entscheidungsprozess involviert.
Die Ausgaben für IT-Sicherheit werden in der Regel nicht mehr aus einem dedizierten Security-Budget heraus bestritten, sondern zunehmend von anderen Bereichen der IT-Organisation (in 67 Prozent der Unternehmen) sowie aus den Töpfen der Fachbereiche (29 Prozent) finanziert. Eine stimmige Koordination vorausgesetzt, erachtet Berater Funk den diesbezüglichen Trend zur Dezentralisierung als positiv. Nicht nur würden die Fachabteilungen den Schutzbedarf ihrer Daten und Prozesse am ehesten kennen, auch lasse sich mit Geschäftsfakten grundsätzlich besser argumentieren als mit rein technischen Kennzahlen aus der IT. Laut Experton Group machten die Security-Ausgaben in ihrer Gesamtheit im vergangenen Jahr rund 7,5 Prozent der IT-Etats aus – Tendenz für 2007 steigend.
Bei der Wahl des Sicherheitsanbieters orientieren sich deutsche Sourcing-Verantwortliche weniger am Preis des Produkts, sondern vielmehr an der Qualität von Service und Support sowie der technischen Kompetenz. Entsprechend stehen die Anwenderunternehmen Microsoft als Sicherheitsanbieter noch skeptisch gegenüber: 58 Prozent der Umfrageteilnehmer bezweifeln, dass der Softwarekonzern dazu in der Lage ist, ihren Sicherheitsbedarf angemessen abzudecken. Nahezu ein Viertel der Firmen wiederum lehnt es kategorisch ab, die eigenen Beschaffungsüberlegungen aufgrund des Security-Engagements der Gates-Company zu verändern.
Mangelhaftes Risiko-Management
Mit Hilfe eines umfassenden IT-Risiko-Managements ist die Herausforderung, neue, für die eigene Organisation brisante Sicherheitsanforderungen möglichst schnell zu erfüllen, leichter zu stemmen. Gerade in dieser Disziplin sind die deutschen Firmen jedoch alles andere als firm. Die Ursachen für die diesbezüglich mangelnde Reife macht Funk an der hierzulande nach wie vor starken Technikprägung des Themas IT-Sicherheit beziehungsweise dem meist bescheidenen Mitwirken der Geschäftsführung fest. "Dies erschwert die Schaffung von Awareness für IT-Sicherheit, die Konzeption eines strategischen Risiko-Managements und den Informationsaustausch mit den Fachabteilungen", erklärt der Berater. Laut Studie führen erst 55 Prozent der Firmen punktuelle Risikoanalysen durch. Während 41 Prozent angeben, ein umfassendes Risiko-Management einschließlich regelmäßiger Risk-Assessments umzusetzen, werden Letztere nur in knapp 30 Prozent der Unternehmen gemeinsam mit den Geschäftsbereichen konzipiert.
Laut Funk tut sich die Mehrzahl der Unternehmen infolgedessen bei der Identifizierung und Priorisierung erforderlicher Sicherheitsmaßnahmen noch schwer. Einige Vorhaben konzentrierten sich primär auf das operative IT-Risk-Management mit dem Ziel, die Effizienz der Sicherheitsmaßnahmen zu überprüfen – und eventuell Compliance-Prozesse zu unterstützen. "Was häufig fehlt, ist eine Verknüpfung mit den letztendlich zu schützenden Geschäftsprozessen und Informationen", kritisiert der Consultant.