Für die Unternehmens-IT werden die Bedrohungsszenarien immer komplexer, die Vielfalt der Angriffsszenarien nimmt kontinuierlich zu. Dies hat eine Studie von IDC zum Thema IT-Sicherheit ergeben. Hierfür wurde im Juni 2011 eine Befragung unter 202 deutschen Unternehmen durchgeführt. Dabei wurden nur Unternehmen mit mehr als 100 Mitarbeitern berücksichtigt. Unternehmen mit mehr als 5000 Mitarbeitern stellten immerhin 21 Prozent der Befragten. IT-Anbieter waren unter den Befragten nicht vertreten. Die Studie sollte die aktuelle Situation sowie die Pläne der Unternehmen rund um die Gewährleistung der IT-Sicherheit untersuchen.
Die wichtigsten Herausforderungen, die genannt wurden, sind die Abwehr neuer Angriffsszenarien, die Cloud Security sowie die Sicherheit mobiler Endgeräte (siehe auch Sicherheitsrisiken von Smartphones, Tablets und Handys minimieren). Dies korreliert mit den Ergebnissen bei der Frage nach den schwächsten Gliedern in der IT-Security-Kette. Denn nach dem Mitarbeiter auf Rang 1 landen Smartphones bereits auf Platz 2.
Die Integration von Smartphones und Tablets in die Unternehmens-IT stellt für viele IT-Abteilungen eine große Herausforderung dar. Bei Notebooks haben sich sehr schnell Zugriffsschutz, Verschlüsselung und Fernwartung etabliert. Smartphones und Tablets werden inzwischen in Unternehmen jedoch verwendet, als habe es nie ein Sicherheitskonzept oder einen relevanten Vorfall gegeben. Häufig handelt es sich dabei auch noch um Geräte, die nie für den professionellen Einsatz konzipiert worden sind.
Und nicht genug, dass die Landschaft mobiler Endgeräte an sich schon sehr zerklüftetet ist: Innerhalb einer Gruppe ist keineswegs immer alles einheitlich zu regeln. Bestes Beispiel hierfür ist die relativ fragmentierte Android-Gemeinde. Was auf einem Gerät prima funktioniert, muss beim nächsten noch lange nicht klappen.
Und es genügt ebenfalls noch nicht, dass die firmeneigenen Gerätschaften alles andere als eine homogene Gruppe darstellen. Da tauchen zunehmend Anwender in IT-Abteilungen auf, die darum bitten, ihre eigenen, ganz privaten, "smarten" Geräte mit E-Mail-Zugang und Netzwerkzugriff zu versehen.
So nennen die Befragten der Studie dann auch die wachsende Zahl der Endgeräte als sicherheitskritisches Element. Durch die Geräte kann der Zugriff auf die IT-Systeme und Unternehmensdaten quasi jederzeit und von überall aus erfolgen. Viele der befragten Unternehmen setzen zumindest Richtlinien und einen kontrollierten E-Mail-Zugang bei mobilen Endgeräten ein. Auf Rang drei der Security-Maßnahmen für mobile Geräte wird bereits eine Mobile Security Lösung genannt, die auf dem Endgerät läuft.
Gefühlte Sicherheit und erlebte Angriffe
Die von IDC befragten Unternehmen weisen durchaus ein ordentliches Selbstbewusstsein in Sachen IT-Sicherheit auf. So stufen 21 Prozent der Befragten ihren Schutz gegen Angriffe von außen als absolut sicher ein, 60 Prozent halten ihre Maßnahmen für in hohem Maße sicher. 15 Prozent der Unternehmen sehen sich teilweise sicher und vier Prozent schätzen den Schutz gegen Angriffe von außen als unsicher ein.
Geht es um den Schutz gegen Angriffe von innen ist das Sicherheitsgefühl etwas weniger ausgeprägt. Hier halten sich 18 Prozent für absolut sicher und noch 49 Prozent für in hohem Maße sicher. Immerhin noch 29 Prozent fühlen sich teilweise sicher, fünf Prozent schätzen sich diesbezüglich als unsicher ein.
Die Sicherheitsverantwortlichen seien sich der Tatsache bewusst, dass der erforderliche Sicherheitsstandard permanent Ressourcen erfordere und eben diese nicht immer zur Verfügung sehen.
Im Rahmen der Studie wurden die Unternehmen nach erfolgreichen Angriffen auf ihre IT befragt. Dies bejahten 43 der 202 befragten Firmen. Dabei entfielen die meisten Nennungen auf Spyware, Malware und unberechtigten Zugang zu IT-Systemen. Ob Unternehmen einen erfolgreichen Angriff auf ihre IT immer erkennen, steht auf einem ganz anderen Blatt.
Das Thema Cloud Computing stellt IT-Abteilungen in Sachen Security ebenfalls vor neue Anforderungen. Zum einen, wenn es um den Bezug von Security-Lösungen aus der Cloud geht. Zum anderen, wenn es um die Gewährleistung der IT-Sicherheit beim Einsatz von Cloud-Lösungen geht.
Social Media und wachsende Budgets
Social-Media-Anwendungen gehören für viele Anwender längst zum Alltag - und zwar im privaten wie im beruflichen Umfeld. So nutzen Anwender neben unternehmenseigenen Accounts mitunter auch private Accounts für berufliche Zwecke. Unter diesem Gesichtspunkt gilt es laut IDC zwei Aspekte zu berücksichtigen: Welche Informationen werden dort bereitgestellt, und ist die Identität des Verbreitenden korrekt?
Es sei insbesondere für börsennotierte Unternehmen unerlässlich, dass nur autorisierte Informationen von autorisierten Mitarbeiten weitergegeben werden. So hätten beispielsweise 34 Prozent der befragten Unternehmen Richtlinien zur Nutzung unternehmenseigener Facebook-Accounts.
Foto: IDC
Dass die genannten Herausforderungen in aller Regel auch höhere Investitionen in die Sicherheit erfordern ist offensichtlich. Bei der entsprechenden Budgetentwicklung blicken die Befragten dann auch recht positiv in die Zukunft. Über 70 Prozent gehen davon aus, dass die Budgets innerhalb der nächsten zwei Jahre steigen. Insbesondere seien höhere Investitionen in die Sicherheit mobiler Lösungen zu erwarten. "Lässt man die Kategorie Notebooks unberücksichtigt, ist davon auszugehen, dass die reine Anzahl der Bedrohungspotenziale im mobilen Umfeld bisher noch geringer ist, als in der IT allgemein. Durch die Anbindung an unternehmensweite Netzwerke ist aber bereits eine kritische Stufe erreicht und IDC rechnet damit, dass sich dies zunehmend verstärken wird.", so Matthias Zacher Senior Consultant und Projektleiter, IDC.(mje)