IDC-Studie: Neue Angriffsszenarien
Gefahr durch User und mobile Geräte
Neue Attacken, begünstigt durch die Nutzung von Cloud Computing, Mobility und Social Media erfordern neue, ganzheitliche IT?Security-Strategien. Vor allem aber sollten die eigenen Mitarbeiter stärker in die Sicherheitsüberlegungen einbezogen sein. Dies ergab eine neue Studie von IDC zum Thema IT Security in Deutschland 2011.Wie schätzen deutsche Unternehmen ihre aktuelle IT-Sicherheit ein, wo lauern die höchsten Gefahren, und welche Pläne für ihre Security haben sie? Um dies herauszufinden hat das Marktforschungs- und Beratungsunternehmen IDC im Juni 2011 eine Befragung unter 202 deutschen Unternehmen mit mehr als 100 Mitarbeitern durchgeführt und die Ergebnisse im Rahmen der Studie "IT Security in Deutschland 2011" analysiert. Dabei legten die Marktforscher auch ein besonderes Augenmerk auf den Einfluss neuer Techniken und Entwicklungen wie Cloud Computing, Mobility und Social Media.
Das Ergebnis: Die Unternehmen geben sich hinsichtlich der Qualität ihrer Schutzvorkehrungen durchaus überzeugt. 21 Prozent der Befragten stufen den Schutz gegen Angriffe von außen als absolut sicher und 60 Prozent als in hohem Maße sicher ein. Nur 15 Prozent der Unternehmen bewerten sich selbst als teilweise sicher, und vier Prozent schätzen den Schutz gegen Angriffe von außen als unsicher ein. Matthias Zacher, Senior Consultant und Projektleiter bei IDC, stellt zu diesem Ergebnis fest: "Unternehmen haben in den letzten Jahren ihre Sicherheitsvorkehrungen auf eine breitere, technisch und organisatorisch strategische Basis gestellt. Sie setzen nicht mehr vor allem punktuelle Sicherheitslösungen, um etwa ihren Web-Auftritt oder einzelne Bereiche der Informationstechnik zu schützen." Dies erhöhe natürlich das Gefühl der Sicherheit, so der Marktforscher weiter. Dennoch seien sich die Sicherheitsverantwortlichen der Tatsache bewusst, dass der Sicherheitsstandard noch zu verbessern ist und man deshalb kontinuierlich in Technik, Know-how und Awareness investieren müsse.
Als größte Herausforderung für die Sicherheit der IT-Systeme werten 42 Prozent der Befragten die "Abwehr neuer Angriffsszenarien". Es geht dabei um Bedrohungen, die erst bei der Nutzung eines Systems auftauchen oder bekannt werden. Zacher erklärt den Stellenwert dieser Sorge unter anderem mit der Aufdeckung von Vorfällen wie Hacker-Angriffe etwa auf Sony oder auch den Angriff von Stuxnet auf Industriekomponenten. Neue Angriffsmethoden sind als solche zunächst einmal zu erkennen, so der Berater. Dann gelte es, so rasch wie möglich geeignete Abwehrmaßnahmen zu implementieren und gegebenenfalls Wiederherstellungsmaßnahmen umzusetzen.
Ebenfalls 42 Prozent der deutschen Firmen sehen - nicht eben überraschend - Cloud Security als größte Herausforderung. In der Befragung berücksichtigten die Marktforscher zwei Szenarien: Zum einen war dies Security as a Service, eine relativ neue Bereitstellungsform von externen IT-Security-Services, die Unternehmen zunehmend nutzen. Zacher vermutet jedoch, dass die befragten Unternehmen hier auch Managed-Security-Services in ihre Antworten mit einbezogen. Hier schätzen die Anwender am meisten die damit verbundenen sehr kurzen Reaktionszeiten auf Veränderungsanforderungen (Signaturen, Files, Update und Code Fixes), geringe Bereitstellungs- und Nutzungskosten sowie eine zentrale Verwaltung der Ereignisdokumentation.
Zum anderen ging es um die Nutzung von Cloud-Services und die technischen Anforderungen an die die Provider. Um Risiken beim Bezug von Cloud-Services zu vermeiden beziehungsweise abzuwehren, fordern 40 Prozent der Befragten eine starke Authentifizierung und Zugriffskontrolle. 39 Prozent wollen Security-Best- Practices-Lösungen bei ihrem Provider sehen, und 36 Prozent wünschen sich eine Verschlüsselung der Kommunikation zwischen Cloud-Anbieter und -Nutzer sowie den Standorten für jede Transaktion. Auch führen 54 Prozent der befragten Unternehmen laut Studie beispielsweise eine Optimierung der internen IT Security im Vorfeld und 41 Prozent IT Security Assessments der internen IT durch.
Als drittgrößte zu meisternde Security-Aufgabe schließlich nannten 39 Prozent der Unternehmen die Sicherheit für mobile Geräte. Dies ist nicht weiter verwunderlich, denn die Zahl der mobilen Endgeräte und Zugriffspunkte wächst nach IDC-Erkenntnissen analog zum zunehmenden Anteil der mobilen Workforce an der arbeitenden Bevölkerung kontinuierlich. "Lässt man die Kategorie Notebooks/Laptops unberücksichtigt, ist davon auszugehen, dass die reine Anzahl der Bedrohungspotenziale im mobilen Umfeld bisher noch geringer ist als in der IT allgemein. Durch die Anbindung an unternehmensweite Netzwerke ist aber bereits eine kritische Stufe erreicht, und IDC rechnet damit, dass sich dies zunehmend verstärken wird", kommentiert Matthias Zacher. Auch haben die meisten Geschäftsprozesse eine oder mehrere mobile Komponenten, so der Berater weiter. Security-Richtlinien (60 Prozent), ein kontrollierter Mail-Zugang (56 Prozent) sowie eine mobile Sicherheitslösung, die auf dem Gerät läuft (50 Prozent), sind die drei am häufigsten eingesetzten Schutzvorkehrungen.
Als schwächstes Glied in der Sicherheitskette werten mehr als die Hälfte der befragten Unternehmen ihre Mitarbeiter, gefolgt von Smartphones, Laptops und PC-Arbeitsplätzen. Zacher versucht eine positive Deutung: "Dies zeigt aber auch eindrucksvoll, welchen Stellenwert der Faktor Mensch im gesamten Security-Gefüge einer Organisation innehat." An erster Stelle der Begründungen für diese Einschätzung des menschlichen Faktors auf die Sicherheit steht das mangelnde Sicherheitsbewusstsein der Angestellten, gefolgt von "vorsätzlichem Fehlverhalten sowohl von Mitarbeitern als auch von Externen". Folgerichtig steht bei den Maßnahmen für eine bessere Sicherheit die Schulung der Mitarbeiter schon jetzt bei 60 Prozent der Befragten an erster Stelle, und 23 Prozent planen ein Awareness-Training für die Zukunft.
Auch wenn die Gefahr durch soziale Medien und Einträge in Fachforen als geringstes internes Risiko eingestuft wird, so haben heute dennoch 34 Prozent der Unternehmen Richtlinien zur sicheren Nutzung unternehmenseigener Facebook Accounts erarbeitet. Damit ist klar geregelt, wie Nutzer mit solchen Tools umgehen dürfen. Es zeigt sich aber auch, dass in 27 Prozent der befragten Unternehmen neben unternehmenseigenen Accounts und Tools die Anwender mitunter auch private Accounts für berufliche Zwecke nutzen.
Die Einschätzung der eigenen Sicherheit sowie die der Gefahren, die intern im Unternehmen von den Mitarbeitern wie auch durch die Nutzung von mobilen Geräten ausgehen oder durch die Cloud entstehen, schlägt sich auch in den Investitionen in Sicherheitstechnik nieder. Unternehmen geben kaum mehr Geld aus für Firewalls oder Webfilter. Technik für Data Leakage Prevention und Data Loss Prevention ist heute bei 29 Prozent der Befragten im Einsatz, und 48 Prozent planen die Implementierung innerhalb der nächsten ein bis zwei Jahre. Den Einsatz von Intrusion-Detection-Systemen sowie Intrusion-Prevention-Systemen (IDS/IPs) haben 41 Prozent der Unternehmen auf der Agenda, während 39 Prozent Investitionen in Single Sign-on und Smartcards tätigen wollen.
"Die Befragung zeigt auch, dass der Trend zur Nutzung eigener Geräte im Unternehmen, Stichwort Consumerization of IT, vor Deutschland nicht Halt macht", stellt der IDC Berater zum Schluss fest. Die Unternehmen beschäftigen sich mit den verschiedenen mobilen Endgeräten, denn sie sind sich bewusst, so Zacher, dass immer mehr verschiedene persönliche und technische Schnittstellen in die Organisation hinein gehen, seien es mobile Lösungen oder Partneranwendungen. "Bevor aber entsprechenden Strategien und Richtlinien festgelegt beziehungsweise umgesetzt werden, müssen die Firmen noch Erfahrungen sammeln", erklärt der IDC-Mann.
IDC rät Unternehmen daher, Sicherheitsstrategien regelmäßig zu überprüfen und ganzheitliche Konzepte zur IT Security zu implementieren. Nur wenn einzelne Sicherheitslösungen zu einem einheitlichen Ansatz zusammengeführt werden, kann ein hoher Sicherheits-Level erreicht werden, so das Fazit von Matthias Zacher.
Der Autor auf LANline.de: sfranke
Lesen Sie mehr zum Thema
