Unternehmenswerte sind durch fortschreitende, technologische Vernetzung verletzbarer denn je. Doch die alljährliche Deloitte-Sicherheitsstudie zeigt erstaunliche Branchenunterschiede bei der Sicherheit von Informationen und Computersystemen auf.
Während die Finanzindustrie schon seit vielen Jahren mit absoluter Priorität in IT-Sicherheit investiert und die Life-Sciences-Branche pflichtgemäß auf umfassende Regulierungsanforderungen reagiert, müssen Technologie-, Medien- und Telekommunikationsunternehmen noch nachholen.
„Unsere Sicherheitsstudie haben wir neben der Finanzbranche erstmalig auch im Technologie-, Medien- und Telekommunikationssektor sowie im Life-Sciences-Bereich durchgeführt. Diese Industriezweige zeichnen sich einmal durch zunehmende Digitalisierung ihrer Produkte und Dienstleistungen und zum anderen durch tendenziell starke regulatorische Anforderungen aus“, erläutert Sven Hesselbach, Partner des Servicebereichs Enterprise Risk Services von Deloitte.
Finanzdienstleistungssektor: Angriffe immer professioneller
Die großen, global agierenden Finanzinstitute erlebten im letzten Jahr einen rapiden Anstieg krimineller Cyberattacken, die meist von externen Tätern verübt wurden. Ausführung und Aufwand der Angriffe weisen darauf hin, dass mehrheitlich professionelle Hacker und sogar das organisierte Verbrechen am Werk sind.
Auffällig bei der Betrachtung der drei häufigsten Angriffsarten (intern wie extern) der letzten zwölf Monate ist die Tatsache, dass sie direkt auf materiellen Gewinn abzielten. An den externen Angriffen hatten Phishing und Pharming mit 51 Prozent den größten Anteil, unmittelbar gefolgt von dem Versuch, Spyware und Malware zu installieren (48 Prozent). Betrugsversuche durch Insider sowie der Missbrauch von Kundendaten stellten mit jeweils 28 beziehungsweise 18 Prozent den höchsten Anteil bei internen, kriminellen Aktivitäten.
Im Finanzdienstleistungssektor schafften es gezielte Maßnahmen gegen Identitätsdiebstahl und Kontenbetrug erstmalig unter die „Top Five“ der wichtigsten Sicherheitsinitiativen für 2006. Mit 88 Prozent der Befragten verfügt ein Großteil der Unternehmen inzwischen über unternehmensweite Business-Continuity-Programme. Einen Chief Information Security Officer gibt es bei den Finanzinstitutionen in EMEA sogar in 91 Prozent der Fälle.
Technologieunternehmen: Lücken im Sicherheitsnetz
Im Bereich der Technologie-, Medien- und Telekommunikationsunternehmen (TMT) zeigt sich ein anderes Bild: Hier können gerade einmal die Hälfte der Befragten ein unternehmensweites Business-Continuity-Programm vorweisen. Damit bewegt sich die Branche klar unterhalb des ermittelten Durchschnitts aller Industriezweige, der in den USA bei 83 Prozent liegt.
Dabei scheinen gerade Unternehmen dieses Segments besonders attraktiv für Angreifer: Mehr als die Hälfte der befragten Unternehmen verzeichnete in den letzten zwölf Monaten konkrete Angriffe. Doch die Informationstechnologie, das Kerngeschäft vieler dieser Unternehmen, erweist sich in der Praxis als ausgesprochen verwundbar und anfällig für Missbrauch. Auch hier werden – wie bei den Finanzinstituten – die Angriffe immer zahlreicher und raffinierter. Rund ein Drittel der berichteten Angriffe der letzten zwölf Monate resultierte in signifikantem finanziellen Schaden.
Die eingesetzte Sicherheitstechnologie beschränkt sich meist auf konventionelle Instrumente wie Firewalls und Virenschutzprogramme. Gerade einmal vier Prozent aller Befragten der TMT-Branche geben an, ausreichende Präventivmaßnahmen getroffen zu haben.
Groß ist indes die Angst vor dem „inneren Feind“: Ganze 83 Prozent fürchten, von ihren eigenen Mitarbeitern insbesondere durch Diebstahl geistigen Eigentums und den Versand vertraulicher Informationen mittels E-Mail an Unbefugte geschädigt zu werden.
Diesen Gefahren wirksam zu begegnen, gehört zu den zentralen Herausforderungen für die Branche. Zu den wichtigsten Aufgaben gehört die Entwicklung und Implementierung einer umfassenden Sicherheitsstrategie. Sie muss vor allem ermöglichen, in punkto Sicherheit zu agieren, anstatt zu reagieren. Insbesondere betrifft dies die Sicherung „nach innen“. Nicht zuletzt sind die Unternehmen gefordert, einen formalen Plan zur Sicherung der Geschäftsfortführung bei Not- oder Zwischenfällen zu entwickeln, der kostspielige Unterbrechungen des operativen Geschäfts verhindert.
Life Sciences: Starke Konzentration auf Compliance-Anforderungen
Nicht ganz so hoch wie im TMT-Segment ist der Anteil der Unternehmen aus dem Bereich Life Sciences, die in den letzten zwölf Monaten Angriffe auf ihre Systeme verzeichneten: Insgesamt 26 Prozent der Befragten gaben einen Angriff auf ihre Sicherheitssysteme an. Die Schäden gingen bei einigen Unternehmen in die Millionenhöhe. Die Branche hat mit der vermehrten Installation eines Sicherheitsbeauftragten reagiert: Zwei Drittel der Befragten haben einen CSO eingesetzt.
Im Life Sciences-Bereich geht es um ausgesprochen sensible Produktinformationen und Prozesse. Entsprechend hoch sind auch die Compliance-Anforderungen und die Messlatte für erforderliche Sicherheitsmaßnahmen. Das Gefahrenspektrum ist weitaus größer als in vielen anderen Bereichen und beschränkt sich bei weitem nicht auf Attacken aus dem Cyberspace. Datenschutz spielt beispielsweise eine große Rolle. So verwundert es jedoch, dass nur sieben Prozent aller Befragten ein ausgereiftes, unternehmensweites Datenschutzprogramm etabliert haben.
„Unabhängig von der jeweiligen Branche ist aber vor allem das reibungslose Zusammenspiel der unterschiedlichen Faktoren wesentlich, denn ein schlüssiges und effizientes Sicherheitskonzept beinhaltet Strategien und Maßnahmen für die betroffenen Mitarbeiter, die entsprechenden Prozesse sowie für die eingesetzten Technologielösungen“, ergänzt Stefan Weiss aus seiner praktischen Erfahrung als Senior Manager der Security-Services-Gruppe von Deloitte.
Die vollständigen Studien können Sie bei Deloitte herunterladen: Finanzbranche und TMT.(mha)
|
Links zum Thema IT-Sicherheit |
Angebot |
|---|---|
|
Bookshop |
|
|
eBooks (50 % Preisvorteil) |
|
|
Software-Shop |