Viel ist nicht genug - Deloitte-Studie zur Informationssicherheit

Die weltweit 138 Unternehmen aus der TMT-Branche (Technologie, Medien, Telekommunikation), die für die Deloitte-Studie "Raising the Bar - 2011 TMT Global Security Study" befragt wurden, haben ihre Sicherheitsmaßnahmen nur auf Vorjahresniveau gehalten.

Zu wenig angesichts der steigenden Gefahren. Rund drei Viertel der Unternehmen wenden zwischen einem und sechs Prozent ihres IT-Budgets für sicherheitsrelevante Maßnahmen auf. Höchste Priorität hat dabei derzeit Compliance. Künftig werden aber vor allem mobile Sicherheit, Cloud Computing und Datenschutz im Vordergrund stehen.

Auch die Nutzung sozialer Medien und Netzwerke stellt ein wachsendes Risiko dar - für fast ein Fünftel der Unternehmen sogar das größte. Insgesamt sind die Zahlen alarmierend: Konnten letztes Jahr noch 38 Prozent behaupten, keinerlei Sicherheitsprobleme gehabt zu haben, so sind es 2011 nur noch 25 Prozent.

"Der Level bei Informationssicherheit bleibt gegenüber dem Vorjahr nahezu stabil, das reicht nicht aus. Gerade die TMT-Branche sollte hier eine Vorreiterrolle übernehmen, denn die Bedrohungslandschaft wächst und entwickelt sich kontinuierlich weiter - neue Phänomene wie 'Hacktivism' sind Beispiele dafür", erklärt Uwe Probst, Partner im Bereich ERS bei Deloitte

Stagnation trotz steigender Gefahren
Die Angriffe auf Unternehmensinformationen steigen - drei Viertel der Befragten waren in jüngster Zeit davon betroffen. Vor allem Technologieunternehmen sind Ziele: 18 Prozent verzeichneten innerhalb der letzten zwölf Monate sechs bis 20 Vorfälle, doppelt so viele wie Telekommunikations- und Mediaunternehmen. Dennoch haben die Unternehmen kaum reagiert: Die Zahl der CISOs ist ebenso wenig gestiegen wie die Budgets. Etwa ein Drittel fertigt einmal im Monat einen Sicherheitsbericht für das Top-Management an, zwei Drittel verfügen über eine definierte Sicherheitsstrategie.

Compliance als wettbewerbsrelevanter Faktor
Sicherheitsrelevantes Thema Nr. 1 ist Compliance - nicht zuletzt auch im Hinblick auf Unternehmensimage und Wettbewerbsposition. Dabei geht Compliance weit über die Befolgung gesetzlicher Regulierungen hinaus. Aufgrund ihrer Kompetenzen und Kapazitäten könnten Unternehmen ihren Standard an Eigeninitiative sogar höher setzen als Regierungen. Immerhin die Hälfte beteiligt sich an unternehmensübergreifenden Cyberinitiativen - wobei Medienunternehmen eher schwach vertreten sind.

Drei Faktoren bestimmen die Zukunft
Künftig werden sich TMT-Unternehmen vor allem mit mobiler Sicherheit, Cloud Computing und Datenschutz beschäftigen. Das im Arbeitsleben immer häufiger auftretende "Bring your own Device"-Prinzip bedingt eine Vielzahl von Risiken für Unternehmensinformationen, denen begegnet werden muss. Auch die Cloud birgt Gefahren, 37 Prozent wollen sie derzeit aus Sicherheitsgründen (noch) nicht nutzen. Nicht zuletzt sorgt die Diskussion über die Zukunft des Datenschutzes in einer vernetzten Welt für Unsicherheit.

Vernetzung als Risikofaktor
Bei mehr als 40 Prozent arbeiten die Mitarbeiter zunehmend mit ihren privaten Smartphones, bei den Medienunternehmen sind es sogar knapp 60 Prozent. Dies ist genauso ein Sicherheitsrisiko wie Social-Media-Aktivitäten. Beide Trends müssen in der unternehmenseigenen Sicherheitsstrategie berücksichtigt werden. Beunruhigend ist, dass der Anteil der Unternehmen, die ihre Mitarbeiter mit Schulungen sensibilisieren, von 35 auf 20 Prozent abgesunken ist.

Der hohe Vernetzungsgrad stellt eine der größten Herausforderungen für die Informationssicherheit von Unternehmen dar. An die Stelle der Dipolarität Anbieter-Kunde tritt zunehmend eine Vielzahl von Akteuren. Etwa 60 Prozent der Befragten sehen Dritte als Sicherheitsrisiko - aber nur 30 Prozent prüfen Drittanbieter auf deren Sicherheits-Policy.

Entscheidend ist auch die risikorelevante Kommunikation der Unternehmen in ihrem vernetzten "Ökosystem". Nur 18 Prozent haben hier bereits klare Regeln und Richtlinien definiert, weitere 35 Prozent haben zumindest einzelne Practices etabliert bzw. arbeiten daran. Knapp die Hälfte der Befragten verfügt in dieser Hinsicht aber über keinerlei Kommunikationsstrukturen.

"Angesichts der steigenden Vernetzung und Komplexität fällt es Unternehmen immer schwerer, Ressourcen und Kompetenzen für ein adäquates Informationssicherheitsmanagement vorzuhalten. Mehr als die Hälfte der Befragten benennt Budgetprobleme als Hemmnis - die Herausforderungen sprengen den klassischen Rahmen der Sicherheitssysteme. Abhilfe können Security Operations Centers bieten. Immerhin 48 Prozent der Befragten nutzen diese zumindest teilweise", schließt Uwe Probst.

IAVCworld per E-Mail folgen