Sicherheitsbewusstsein

IT-Sicherheit: Mehr Geld für Kaffee als für Security

Microsoft-Programme sind längst nicht mehr Hauptziel von Cyber-Tätern. Das verkennen Firmen, warnt Aberdeen - sie gäben auch generell zu wenig für Security aus. Gerade kleinere Unternehmen klagen über eine ungenügende Zuweisung von Ressourcen für die IT-Sicherheit.

Pro Mitarbeiter investiert ein Unternehmen im Jahr durchschnittlich 220 US-Dollar in die IT-Sicherheit, berichtet Aberdeen nach einer Befragung von 160 Firmen weltweit, vor allem Finanzdienstleistern. Mehr Geld geben viele Firmen demnach allerdings für Kaffee und Tee aus, die sie ihren Mitarbeitern spendieren. Das rächt sich, denn am Ende zahlen sie bei der Sicherheit drauf. Security-Vorfälle fressen bei den Studienteilnehmern durchschnittlich 1,28 Millionen Dollar im Jahr, bei 10,7 Vorkommnissen dieser Art.

Das ist deutlich mehr also als der Etat für Sicherheits-Initiativen. Er beläuft sich im Schnitt auf 870.000 US-Dollar. Am teuersten zu stehen kommen Firmen dabei verlorene oder offengelegte Daten, mit einem Schaden von 500.000 bis 640.000 US-Dollar. Ein Sicherheitsvorfall verschlingt im Mittel 120.000 US-Dollar.

Windows ist nicht das einzige offene Tor für Hacker

Offenbar, so Aberdeen, fließt das Geld zur Prävention von Angriffen an die falschen Stellen. Längst sei nicht mehr Microsoft Windows das Hauptziel von Cyber-Kriminellen, auch wenn die Annahme noch weit verbreitet sei. Die Analyse eines User-PCs, wie er in vielen Büros stehen kann, zeigte: Knapp die Hälfte der 50 installierten Programme stammte nicht von Microsoft, und die Untersuchung zeigte bei den Drittanbietern fast vier Mal so viele Schwachstellen auf als in Microsoft-Programmen.

Im Vergleich zum Windows-Betriebssystem steckten sogar fünf Mal so viele Sicherheitslücken in den Nicht-Microsoft-Programmen. Aus Daten, die Aberdeen aus verschiedenen Quellen zusammengetragen hat, schließen die Marktforscher zudem: Wer sich nur um die Sicherheitslücken in Microsoft-Software kümmert, deckt letztendlich nur 10 bis 20 Prozent der Sicherheitsrisiken seiner Endgeräten ab.

Verschiedene Gründe erschweren ein effektives Risiko-Management. Großunternehmen mit über eine Milliarde Dollar Umsatz kämpfen vor allem damit (49 Prozent), dass sie die Security-Risiken in Silos managen müssen, ergab eine andere Aberdeen-Umfrage, durchgeführt im Mai 2011. Auch ihre komplexen Infrastrukturen bereiten vielen Probleme (38 Prozent).

Kleine Firmen (unter 50 Millionen Dollar Umsatz) klagen dagegen meist über unzureichende Zuweisung von Ressourcen für die IT-Security (30 Prozent). Oft kommen sie in die Verlegenheit, erst etwas unternehmen zu können, wenn der Schaden längst angerichtet ist. Das berichten 21 Prozent der Teilnehmer aus diesen Unternehmen - fast doppelt so viele wie in den Konzernen.

Malware, Hacker, Datenverlust: Die häufigsten Sicherheitsvorfälle

Von den 160 Studienteilnehmern erfragte Aberdeen auch, welche Bedrohungen sie 2010 am häufigsten registrierten. Dies sind die Top 10:

  1. Malware

  2. Nicht-krimineller System-Missbrauch

  3. Verlust oder Diebstahl von IT-Geräten

  4. Missbrauch von Zugangsberechtigungen

  5. Gezieltes Phishing

  6. Einbruch ins Netzwerk oder System

  7. Verlust oder Offenlegung sensibler Daten

  8. Denial-of-Service-Angriffe

  9. Social Engineering

  10. Bösartige Hacker-Angriffe (CIO.de/mje)