Manager weltweit vertrauen auf die Sicherheit ihrer IT-Systeme. Dabei erfolgten seit Jahren keine Investitionen mehr in Sicherheitsmaßnahmen. Jüngste Attacken von Hackern machen jedoch deutlich, dass es massive Lücken gibt.
Die Risiken steigen durch immer aggressivere und lange andauernde System-Angriffe. Die Nutzung von Cloud-Computing hingegen kann die Sicherheit von Daten erhöhen. Zu diesem Ergebnis kommt die aktuelle Studie „Global State of Information Security Survey 2012“ von PwC, CIO Magazine und CSO Magazine. Im Rahmen der Erhebung wurden über 9.600 Vorstände und Direktoren für IT- und Informationssicherheit aus 138 Ländern befragt.
Jahrelang wurden Budgets für IT-Sicherheit unter dem Vorwand wirtschaftlicher Volatilität sukzessive gekürzt. Nun erreicht der Abbau ein unternehmenskritisches Ausmaß und betrifft bereits Kern-Sicherheitsfunktionen. Nichts desto trotz fühlen sich 72% der für die IT-Sicherheit verantwortlichen Top-Manager mit den bestehenden Prozessen sicher. Die Angriffe auf die IT-Systeme von Institutionen und Unternehmen zeigen, dass der Schein trügt und die Situation prekär ist.
„Die jüngste PwC Studie macht den Widerspruch deutlich, der beim Management vorherrscht: Obwohl seit Jahren nicht in IT investiert wurde, fühlen sich IT-Verantwortliche zu sicher. Jüngste Hacker-Attacken beweisen das Gegenteil“, erklärt Andreas Plamberger, IT-Experte bei PwC Österreich. „Auch Unternehmen müssen auf eine Vielzahl von Attacken vorbereitet sein. Angefangen von andauernden Bedrohungen für ein IT-System bis hin zu plötzlich auftretenden massiven Leaks, welche den Zugriff auf streng vertrauliche Daten zulassen.“
Keine Prävention vor permanenter Cyber-Bedrohung
„Eine der gefährlichsten Bedrohungen aus dem Cyberspace sind sogenannte Advanced Persistent Threats (ATP)“, sagt Markus Ramoser, IT-Experte im Bereich Wirtschaftsprüfung. „So bezeichnet man ein langfristiges Muster von ausgeklügelten Hacker-Angriffen. Die anspruchsvollste Form von Cyber-Bedrohungen ist demnach nicht mehr ein seltenes Ereignis, sondern ein andauerndes Gefahrenpotenzial. Zunehmend sind diese auch ein dringendes Problem für den privaten Sektor und nur wenige Unternehmen haben die Möglichkeiten, sich dagegen zu schützen.“
Lediglich 16% der Manager gaben an, gegen ATPs vorbereitet zu sein. Mehr als die Hälfte der Organisationen hingegen verfügen nicht über Kernkompetenzen zur Abwehr dieser strategischen Bedrohung. Dazu zählen: wie Penetrationstests, Identity-Management-Technologie oder ein zentraler Security Information Management-Prozess. Obwohl Risiken gestiegen sind und Präventionsmaßnahmen sich als nicht mehr effizient erweisen, erwarten lediglich 51% (2010: 52%) der befragten Manager eine Erhöhung der Ausgaben für IT-Sicherheit.
Gefahrenquellen: Externe Partner und Kunden
Das Verwalten der Sicherheit mit externen Dienstleistern ist seit jeher ein Problem – und wird immer riskanter. Die Zusammenarbeit mit Partnern, Lieferanten und angebundenen Anbietern birgt nicht zu unterschätzende Risiken in sich. Ebenso sind bestehende wie ehemalige Mitarbeiter die am häufigsten vermutete Quelle für Verstöße. Doch seit einige Firmen auch Kunden in ihre Netzwerke einladen, zählen diese zu den unbekannten Gefahrenquellen. Waren Kunden bisher nicht verdächtig, ändert sich diese Haltung nun sehr rasch: Bereits 17% der Manager sehen in den Kunden als Netzwerkteilnehmer ein potentielles Risiko.
Sinkendes Vertrauen in Cyber-Sicherheit
Das weltweite Vertrauen in Sicherheitsmaßnahmen von 72% der befragten Manager mag auf den ersten Blick hoch erscheinen, ist aber seit 2006 deutlich zurückgegangen. Organisationen sind immer noch stärker mit Herausforderungen wie Advanced Persistent Threats und anderen Cyber-Sicherheitsfragen konfrontiert. Doch die weiterhin anhaltenden Schwierigkeiten der Finanzierung lassen erwarten, dass Geschäfts- und IT-Personal weltweit immer größere Zweifel an der Sicherheit ihrer Organisation haben werden.
Cloud-Computing kann IT Sicherheit verbessern
Mittlerweile setzen vier von zehn Unternehmen auf Cloud-Computing-Dienste – die meisten davon beanspruchen Software oder Infrastruktur als Service (SaaS bzw. IaaS). Die Mehrheit der Nutzer sieht in der Verwendung von Cloud-Computing eine Steigerung der Sicherheit. Verbesserungsbedarf besteht jedoch in der Durchsetzung besserer Sicherheitsrichtlinien für Anbieter.