Ernst & Young: Globale Unternehmen sind im Eiltempo dabei neue Technologien und Medien einzuführen, während die damit verbundenen Sicherheitsbedrohungen als nachrangig eingestuft werden.

Im Übereifer, ihre Geschäfte mit neuen Technologien zu „digitalisieren“ und in die immer grenzenlosere Welt von Cloud Computing und sozialen Medien einzutauchen, entsteht bei globalen Organisationen derzeit eine wachsende Kluft zwischen Geschäftsanforderungen und der Fähigkeit, neue und komplexe Sicherheitsbedrohungen zu bewältigen, so das Ergebnis der 14. jährlichen Ernst & Young-Studie 'Global Information Security Survey' , die heute veröffentlicht wurde.

Die Befragung von 1.700 Organisationen auf globaler Ebene ergab, dass 72% der Befragten ein höheres Risikoniveau aufgrund externer Bedrohungen sehen. Gleichzeitig haben jedoch lediglich ein Drittel der Befragten ihre Informationssicherheitsstrategie in den letzten 12 Monaten aktualisiert.

80% der Organisationen nutzen oder erwägen derzeit die Nutzung von mobilen Tablet-PCs und 61% nutzen oder erwägen die Nutzung von Cloud-Computing-Diensten innerhalb des nächsten Jahres. Bei der Eile, sich an die rasant ändernde Landschaft anzupassen, ist die Bedrohung durch Sicherheitslücken lediglich ein zweitrangiger Gedanke.

Paul van Kessel, Global IT Risk and Assurance Leader von Ernst & Young, kommentiert: „Die Produkte von immer mehr bedeutenden Unternehmen und Branchen sind im Rahmen von Software erhältlich und werden als Online-Dienste angeboten. Daten gibt es überall. Unternehmen werden mit abnehmenden Grenzen, Cloud-Diensten und Geschäftsmodellen konfrontiert und fragen sich, wie sie auf neue und künftige Risiken reagieren sollen und ob ihre Strategie überarbeitet werden muss. Der Fokus muss von kurzfristigen Lösungen in einen ganzheitlicheren, in die langfristigen strategischen Unternehmensziele integrierten Ansatz übergehen.“

Finanzierung
Es ist vielversprechend, dass 59% der Befragten planen, ihr Budget für Informationssicherheit in den kommenden 12 Monaten zu erhöhen. Dennoch erklärten lediglich 51%, über eine dokumentierte Informationssicherheitsstrategie zu verfügen.

Die Teilnehmer der Studie nannten Cloud Computing als wichtigste Finanzierungspriorität hinsichtlich Informationssicherheit in den kommenden 12 Monaten. Allgemein gaben die Befragten das zweite Jahr in Folge an, dass Geschäftskontinuität die höchste Priorität bei der Finanzierung einnimmt.

Mobile Tablet-PCs
Die Einführung von Tablets und Smartphones steht an zweiter Stelle auf der Liste der technologischen Herausforderungen, die als wichtig empfunden werden. Über die Hälfte der Beteiligten hat dies als schwierige oder sogar äußerst schwierige Herausforderung angegeben.

Die Überarbeitung von Richtlinien und Bewusstseinsprogramme sind die wichtigsten Maßnahmen, die getroffen werden, um die durch diese neue Mobiltechnologie entstehenden Risiken anzugehen. Die Einführung von Sicherheitstechniken und -software bewegt sich jedoch noch auf geringem Niveau. Verschlüsselungstechniken werden beispielsweise von weniger als der Hälfte (47%) der Organi- sationen genutzt.

Vertrauen in die Cloud schaffen
Trotz der überzeugenden Einführung von Cloud-Umgebungen sind die Konsequenzen von Cloud-Diensten vielen Organisationen noch immer unklar, und sie bemühen sich verstärkt, die Auswirkungen und Risiken besser zu verstehen.

Im Jahr 2011 haben 48% der Befragten die Implementierung von Cloud Computing als schwierige oder sehr schwierige Aufgabe eingestuft, und über die Hälfte hat keine Kontrollsysteme eingeführt, um die damit verbundenen Risiken zu verringern.

Die am häufigsten getroffene Maßnahme ist eine bessere Überwachung des Vertragsmanagement- prozesses mit den Cloud-Anbietern, aber selbst diese Maßnahme treffen lediglich 20% der Befragten, was ein hohes und möglicherweise unangebrachtes Maß an Vertrauen ausdrückt.

„Ohne klare Vorgaben scheinen viele Organisationen unsachgerechte Entscheidungen zu treffen, indem sie entweder verfrüht ohne angemessene Berücksichtigung der damit verbundenen Risiken zu Cloud-Umgebungen übergehen oder indem sie diese völlig vermeiden. Obwohl zahlreiche Organisationen mittlerweile Cloud-Dienste in Anspruch nehmen, haben sich viele nur ungern zu diesem Schritt entschlossen.“

Nahezu 90% der Befragten befürworten externe Zertifizierungen und fast die Hälfte (45%) gab an, diese sollten lediglich auf einem vereinbarten Standard basieren.

„Obwohl Allianzen bestehen, die auf dieses Ziel hinarbeiten, genügt es nicht, sich auf externe Stellen zu verlassen, sämtliche Risiken in Verbindung mit Cloud Computing anzugehen“, so van Kessel. „Diese Risiken können eine wesentliche Änderung der Art und Weise bewirken, wie eine Organisation ihre Geschäfte führt und müssen daher im Rahmen von formalen Enterprise- und IT-Risikomanage- mentprozessen gesteuert werden.“

Soziale Medien
Die meisten Befragten (72%) gaben an, dass externe arglistige Attacken zu ihren größten Risiken zählten. Diese Attacken können aufgrund von Informationen geschürt werden, die man durch den Einsatz sozialer Medien erhält und die genutzt wurden, um gezielte Phishing-Nachrichten an bestimmte Personen zu senden.

Um potenzielle Risiken durch soziale Medien besser in Angriff zu nehmen, scheinen Organisationen kompromisslos vorzugehen. Über die Hälfte (53%) erklärte, Webseiten eher zu blockieren, anstatt die Veränderungen zu akzeptieren und unternehmensübergreifende Maßnahmen einzuführen.

Höchste Priorität
Die Umfrage zeigt, dass lediglich 12% der Befragten Themen in Verbindung mit Informationssicherheit bei jeder Vorstandssitzung vorbringen und weniger als die Hälfte (49%) der Umfrageteilnehmer gab an, dass ihre Informationssicherheitsfunktion den Anforderungen der Organisation entspricht.

Van Kessel bemerkt abschließend: „Anstelle einer reaktiven ist eine pragmatische und proaktive Reaktion erforderlich. Die Informationssicherheit muss bei der Vorstandssitzung vordergründiger sein mit einer klar definierten Strategie einhergehen, die das Unternehmen in der Cloud und anderswo unterstützt. Die meisten Unternehmen haben noch einen langen Weg vor sich, um dies zu einer Realität werden zu lassen.“

„Für ein effektives Management von IT-Risiken im Allgemeinen ist es für Organisationen erforderlich, einen umfassenden Überblick über die gesamte IT-Landschaft zu erhalten. Diese ganzheitliche Perspektive bietet ihnen einen Ausgangspunkt für die Erkennung und das Management von derzeitigen sowie von künftigen potenziellen IT-Risiken und Herausforderungen, die im Laufe der Zeit auftreten können.“

Weitere Beiträge....