Unternehmen investieren zu wenig in IT-Sicherheit

Höchste Priorität hat dabei derzeit Compliance. Künftig werden aber vor allem mobile Sicherheit, Cloud Computing und Datenschutz im Vordergrund stehen. Auch die Nutzung sozialer Medien und Netzwerke stellt ein wachsendes Risiko dar - für fast ein Fünftel der Unternehmen sogar das größte. Insgesamt sind die Zahlen alarmierend: Konnten letztes Jahr noch 38 Prozent behaupten, keinerlei Sicherheitsprobleme gehabt zu haben, so sind es 2011 nur noch 25 Prozent.

Stagnation trotz steigender Gefahren

Die Angriffe auf Unternehmensinformationen steigen - drei Viertel der Befragten waren in jüngster Zeit davon betroffen. Vor allem Technologieunternehmen sind Ziele: 18 Prozent verzeichneten innerhalb der letzten zwölf Monate sechs bis 20 Vorfälle, doppelt so viele wie Telekommunikations- und Mediaunternehmen. Dennoch haben die Unternehmen kaum reagiert: Die Zahl der CISOs ist ebenso wenig gestiegen wie die Budgets. Etwa ein Drittel fertigt einmal im Monat einen Sicherheitsbericht für das Top-Management an, zwei Drittel verfügen über eine definierte Sicherheitsstrategie.

Sicherheitsrelevantes Thema Nr. 1 ist Compliance - nicht zuletzt auch im Hinblick auf Unternehmensimage und Wettbewerbsposition. Dabei geht Compliance weit über die Befolgung gesetzlicher Regulierungen hinaus. Aufgrund ihrer Kompetenzen und Kapazitäten könnten Unternehmen ihren Standard an Eigeninitiative sogar höher setzen als Regierungen. Immerhin die Hälfte beteiligt sich an unternehmensübergreifenden Cyberinitiativen - wobei Medienunternehmen eher schwach vertreten sind.

Drei Faktoren bestimmen die Zukunft

Künftig werden sich TMT-Unternehmen vor allem mit

• mobiler Sicherheit,
  
• Cloud Computing und
  
• Datenschutz

beschäftigen. Das im Arbeitsleben immer häufiger auftretende "Bring your own Device"-Prinzip bedingt eine Vielzahl von Risiken für Unternehmensinformationen, denen begegnet werden muss. Auch die Cloud birgt Gefahren, 37 Prozent wollen sie derzeit aus Sicherheitsgründen (noch) nicht nutzen. Nicht zuletzt sorgt die Diskussion über die Zukunft des Datenschutzes in einer vernetzten Welt für Unsicherheit.

Bei mehr als 40 Prozent arbeiten die Mitarbeiter zunehmend mit ihren privaten Smartphones, bei den Medienunternehmen sind es sogar knapp 60 Prozent. Dies ist genauso ein Sicherheitsrisiko wie Social-Media-Aktivitäten. Beide Trends müssen in der unternehmenseigenen Sicherheitsstrategie berücksichtigt werden. Beunruhigend ist, dass der Anteil der Unternehmen, die ihre Mitarbeiter mit Schulungen sensibilisieren, von 35 auf 20 Prozent abgesunken ist.

Der hohe Vernetzungsgrad stellt eine der größten Herausforderungen für die Informationssicherheit von Unternehmen dar. An die Stelle der Dipolarität Anbieter-Kunde tritt zunehmend eine Vielzahl von Akteuren. Etwa 60 Prozent der Befragten sehen Dritte als Sicherheitsrisiko - aber nur 30 Prozent prüfen Drittanbieter auf deren Sicherheits-Policy.

Entscheidend ist auch die risikorelevante Kommunikation der Unternehmen in ihrem vernetzten Ökosystem. Nur 18 Prozent haben hier bereits klare Regeln und Richtlinien definiert, weitere 35 Prozent haben zumindest einzelne Practices etabliert oder arbeiten daran. Knapp die Hälfte der Befragten verfügt in dieser Hinsicht aber über keinerlei Kommunikationsstrukturen.

Das Fazit der Studienautoren: Angesichts der steigenden Vernetzung und Komplexität fällt es Unternehmen immer schwerer, Ressourcen und Kompetenzen für ein adäquates Informationssicherheitsmanagement vorzuhalten. Mehr als die Hälfte der Befragten benennt Budgetprobleme als Hemmnis - die Herausforderungen sprengen den klassischen Rahmen der Sicherheitssysteme. Abhilfe können Security Operations Centers bieten. Immerhin 48 Prozent der Befragten nutzen diese zumindest teilweise.

Für die Studie wurden 138 Unternehmen aus Technologie, Medien und Telekommunikation befragt.