Alle Unternehmen haben IT-Sicherheit im Visier, zumindest dann, wenn sie direkt danach gefragt werden. Folgen dem aber auch Taten? Und konzentrieren sich die Unternehmen dann auch auf die richtigen Aktivitäten? Dies waren einige Fragen, auf die Red Hat Antworten suchte
TechValidate hat dazu eine Umfrage unter 426 IT-Entscheidern weltweit durchgeführt. Diese hat jede Menge Daten generiert, einige überraschend, einige erwartet. Die Ergebnisse können in drei Bereiche aufgeteilt werden.
1. Wenige "neue" IT-Anbieter kümmern sich um Sicherheitshygiene
Es hört sich etwas harsch an, aber mit dem Aufkommen des Internet of Things (IoT) kommt die Sicherheit bei den meisten neu anschließbaren Devices nicht an erster Stelle. Das ist nicht verwunderlich: Sensorhersteller zum Beispiel fokussieren darauf, bessere Sensoren zu bauen, nicht sicherere Sensoren.
Für Unternehmen hat das aber große Bedeutung - oder sollte Bedeutung haben. Nur 14% der Befragten machten sich Sorgen über ungepatchte oder unpatchbare Systeme, und konzentrierten sich stattdessen auf die Risiken, die durch externe Datenschutzvorfälle (32%) oder mangelhaftes Sicherheitsverhalten der User (36%) entstehen.
Beide Themen sind von Bedeutung, allerdings beginnt eine wirkungsvolle Sicherheit mit einer guten "Hygiene", also dem regelmäßigen Patchen von Systemen und Software, um solche Vorfälle zu verhindern. Positiv: Zwei Drittel (67%) der Befragten gaben an, Sicherheitspatches monatlich oder in noch kürzeren Abständen durchzuführen; damit verringern sie schon mal das Angriffsfenster, das durch bekannte Schwachstellen entsteht.
2. Vertrauen ist wichtiger als Umsatz
Auf die Frage, was denn die größten sicherheitsbezogenen Folgen in ihrem Unternehmen sein könnten, wies fast die Hälfte der Befragten (47%) nicht etwa auf Umsatzrückgang, Imageschaden oder Vermögensverlust hin, sondern allein auf den möglichen Verlust des Kundenvertrauens. Das stellt eine interessante Wendung in der Sicherheitswelt dar:
Während es wichtig bleibt, Kundendaten zu schützen, ist das Vertrauen der Kunden darauf, dass Unternehmen ihre Daten schützen, ebenso bedeutend. Bekannte Datenschutzvorfälle der letzten zwölf bis 18 Monate haben gezeigt, wie zerbrechlich und unbeständig dieses Vertrauen sein kann. Es ist daher interessant zu beobachten, wie Unternehmen Vertrauen einen höheren Stellenwert einräumen als Assets oder Umsatz.
3. Mehr mit weniger erreichen
Schlussendlich, und das wird niemanden überraschen: Trotz all der bekanntgewordenen Sicherheitsvorfälle, der neuen Schwachstellen und der vielen Aussagen von Führungskräften über die Bedeutung von IT-Sicherheit - das Budget bleibt gleich. 81% der Befragten erwarteten ein stagnierendes, bestenfalls ein leicht erhöhtes Budget; 61% betonten, dass IT-Sicherheit 15% oder weniger des gesamten IT-Budgets ihres Unternehmens ausmacht.
IT-Sicherheit bleibt also eines der wichtigsten Themen in Unternehmen. Leider ist, trotz all der aufkommenden neuen Gefahren, das Geld einfach nicht da, um sich mit Schulungen, neuen Tools und weiteren Mitarbeitern sachgemäß dagegen zu wehren. Der allgemeine Trend in der Unternehmens-IT, demnach mit gleichen Budgets immer mehr getan werden soll, geht zu Lasten der gesamten Infrastruktur, inklusive der Sicherheit.