Firmen fehlen formale Sicherheitskonzepte

Weniger Attacken von Mitarbeitern

Im Vergleich zum Vorjahr berichten 59 Prozent von einem gleich gebliebenen Niveau an Security-Vorfällen, 31 Prozent hingegen von einem Anstieg. Mehrheitlich verlaufen diese Vorfälle eher glimpflich. Bei einem Drittel waren es weniger als fünf Stück im Jahresverlauf, bei einem weiteren Fünftel fünf bis zehn. Der finanzielle Schaden lag in 60 Prozent der Fälle unter 200.000 Euro.

Besonders stark steigt die Zahl von Bedrohungen, die von externen Angreifern ausgeht: Vier von zehn Unternehmen melden eine Zunahme solcher Attacken. Leicht steigend ist auch die Zahl der IT-Sicherheitsvorfälle, die aus Unachtsamkeit von eigenen Mitarbeitern verursacht werden. Immerhin ist die Menge der bösartigen Attacken seitens der eigenen Mitarbeiter rückläufig.

Auf die Bedrohungslage reagieren die Firmen häufig mit wachsenden Ausgaben für die IT-Sicherheit. 43 Prozent haben diese im vergangenen Jahr erhöht, nur fünf Prozent haben weniger ausgegeben. 51 Prozent wollen ihr IT-Security-Budget im kommenden Jahr aufstocken, einen Rückgang erwarten nur fünf Prozent.

Als Risikofaktor, dessen Bedrohungspotenzial am meisten gestiegen ist, nennen 59 Prozent unwissende oder unachtsame Mitarbeiter. Es folgen Cyber-Attacken auf das Finanz- und Rechnungswesen mit 56 Prozent, veraltete Sicherheitskontrollen und -architekturen mit 47 Prozent und Angriffe aus dem Web mit dem Ziel einer Störung der Abläufe mit 52 Prozent.

Während Malware hier noch auf 48 Prozent kommt, sind die Werte für Spionage, Phishing, Spam und interne Attacken vergleichsweise niedrig. Von fast zwei Fünfteln der Befragten werden allerdings die Verwundbarkeiten durch mobile Endgeräte und Apps sowie Cloud Computing genannt.

Forderung nach Cloud-Zertifizierung

Im Bereich Mobile IT befinden sich 35 Prozent der Befragten noch in einer Phase des beschränkten Einsatzes und der Evaluierung von Tablets. Sicherheitstechnisch reagieren 52 Prozent mit der Anpassung von Richtlinien an die neuen Risiken sowie jeweils zwei Fünftel mit Verschlüsselungstechnologien und gesteigerten Aktivitäten zur Bewusstseinsbildung.

Während 2010 lediglich 30 Prozent der Unternehmen Cloud-Computing-Services in Anspruch genommen haben, sind es in diesem Jahr laut Ernst & Young bereits 59 Prozent, die Clouds nutzen oder deren Einsatz planen - Tendenz weiter schnell steigend.

Fast 80 Prozent der Anwender sprechen sich für eine externe Zertifizierung der Service-Provider aus. 70 Prozent wissen nach eigenen Angaben, wo ihre Daten geografisch lagern. Allerdings erhalten nur 30 Prozent diese Information von ihrem Cloud-Anbieter proaktiv.

Soziale Netzwerke sind mittlerweile in vielen Unternehmen ein fester Bestandteil der Kommunikation - allerdings fehlt 38 Prozent der befragten Firmen ein koordinierter Ansatz, der es ihnen erlauben würde, soziale Online-Medien effektiv zu nutzen.

"Die wohl bedeutendste Entwicklung seit 2006 ist der Wandel in der Wahrnehmung von Informationssicherheit", sagt Riedel. "Wurde es vor einigen Jahren noch als reine IT-Aufgabe gesehen, verstehen die Unternehmen heute, dass die Sicherung ihrer Daten und Informationen eine strategische Notwendigkeit ist."