Deutsche Unternehmen haben Nachholbedarf in Sachen IT-Sicherheit

Datenskandale, die schlimmste Wirtschaftskrise seit dem Zweiten Weltkrieg und eine rasant steigende Nutzung von neuen Internetdiensten und sozialen Netzwerken. Das Jahr 2009 brachte die IT-Sicherheitsbeauftragten in Unternehmen gleich mehrfach ins Schwitzen. Für eine weltweite Studie befragte PwC gemeinsam mit dem CIO Magazine über 700 deutsche Firmen, wie sie die Lage der IT-Sicherheit im Jahr 2010 einschätzen. Wurden Budgets in Folge der Krise gekappt? Wie reagieren Unternehmen auf Datenpannen und die Aktivitäten ihrer Mitarbeiter in Xing, Facebook & Co? Wo liegen Schwachpunkte und Defizite?

Die gute Nachricht vorweg: Die schwierige wirtschaftliche Situation hat nicht dazu geführt, dass deutsche Unternehmen die Budgets für IT-Sicherheit kappen. Im Gegenteil: Das Thema ist durch die aktuellen Ereignisse weiter nach oben gerückt auf der Agenda der Unternehmenslenker. Das ist das zentrale Ergebnis der Umfrage "Global State of Information Security", für die PwC gemeinsam mit dem CIO Magazine über 7200 Unternehmen in 130 Ländern befragt hat. 721 deutsche Unternehmen haben sich an der Umfrage beteiligt.

Soziale Netzwerke und neue Technologien bereiten IT-Sicherheitsexperten Sorgen

Größeres Kopfzerbrechen bereiten den IT-Sicherheitsexperten soziale Netzwerke - Twitter, Facebook, Xing & Co. - und der zuweilen sorglose Umgang der Mitarbeiter mit diesen Kommunikationskanälen. "Soziale Netzwerke beflügeln zwar die unternehmensübergreifende Zusammenarbeit. Sie helfen bei der Kontaktpflege mit Kunden, Mitarbeitern und Bewerbern. Aber sie machen es den Mitarbeitern auch leicht, Kundendaten oder Unternehmensgeheimnisse mit Externen auszutauschen", warnt Ralph Noll, Experte für IT-Sicherheit bei PwC. "Oft ist das gar nicht böswillig, sondern eher naiv. Um den richtigen Umgang mit neuen Technologien und Diensten sicherzustellen, müssen Unternehmen bei ihren Mitarbeitern für die nötige Awareness sorgen."

Zukunftsweisende Technologien wie Virtualisierung und Cloud Computing vereinfachen zwar die physikalische IT-Infrastruktur und optimieren die IT-Kosten. Was es für die IT-Sicherheit bedeutet, wenn Daten beispielsweise nicht mehr innerhalb des Unternehmens gespeichert werden, kristallisiert sich erst langsam heraus. Darauf müssen sich die Unternehmen einstellen.

Sicherheitsexperten reagieren auf Datenschutzskandale

63 Prozent der teilnehmenden deutschen Sicherheitsexperten konzentrieren sich auf den Bereich des Datenschutzes und halten Datenschutz-Fragestellungen für wichtig. Über die Hälfte der deutschen Teilnehmer (52 Prozent) wollen ihren Problemen in diesem Bereich durch den Einsatz von Data-Leak-Prevention-Tools begegnen. Die Anzahl der Teilnehmer, die bereits mit dieser Technologie arbeitet, ist im Vergleich zum Vorjahr deutlich gestiegen und liegt mit 46 Prozent in Deutschland über dem internationalen Durchschnitt (44 Prozent). In Deutschland ist dabei insbesondere die komplexe Rechtslage zu beachten.

Compliance-Anforderungen treiben die Ausgaben in die Höhe

Ausgewirkt hat sich die Krise allerdings auf das regulatorische Umfeld: Es ist komplexer und beschwerlicher geworden. Das sagen 62 Prozent der deutschen Studienteilnehmer. Ein Blick auf die Ausgaben für IT-Sicherheit zeigt: Wesentliche Kostentreiber sind Compliance-Fragestellungen wie die Erfüllung interner Richtlinien und regulatorischer Anforderungen. Die deutschen Umfragewerte liegen bei dieser Frage im Trend des europäischen Durchschnitts. Bei der Durchführung von regelmäßigen Compliance-Tests fallen Deutschland und Europa aber hinter anderen Regionen zurück: Nur 39 Prozent der deutschen Befragten führen regelmäßige Compliance-Tests durch. In Nordamerika sind es 57 Prozent, in Asien immerhin 52 Prozent. Ziel der Unternehmen sollte es sein, die Effizienz der Anstrengungen um den Themenkomplex durch ein effektives Risikomanagement zu erhöhen.

Defizite bei der Ausrichtung an den Geschäftsanforderungen

Die IT-Sicherheit an den Geschäftsanforderungen auszurichten, ist die Hauptanforderung der IT-Verantwortlichen. Nach den Umfrageergebnissen sind aber lediglich 28 Prozent aller Befragten in Deutschland der Meinung, dass ihre IT-Security-Policy vollständig an den Geschäftsanforderungen ausgerichtet ist. Global sind es immerhin 38 Prozent. 29 Prozent der Befragten in Deutschland sind sogar der Meinung, dass ihre IT-Sicherheitspolitik gar nicht oder nur sehr schlecht an den Unternehmensanforderungen ausgerichtet ist. Im Vergleich mit den Umfrageergebnissen der Vorjahre haben Unternehmen in diesem Bereich keinerlei Fortschritte erzielt.

Schwachstellen- und Risikoanalysen noch nicht überall verbreitet

62 Prozent der teilnehmenden deutschen Sicherheitsexperten halten es für wichtig, dass die Priorisierung der IT-Sicherheitsinvestitionen auf der Grundlage eines Risiko-Assessments stattfindet. "Das Bewusstsein über die Sinnhaftigkeit eines risikoorientierten Ansatzes liegt also durchaus vor", sagt IT-Sicherheitsexperte Ralph Noll. "Enttäuschend ist aber, dass ein Drittel der deutschen Unternehmen gar kein Risiko-Assessment durchführt. Weitere elf Prozent tun dies weniger als einmal im Jahr." Da passe es ins Bild, dass die deutschen Teilnehmer an der Studie nur zu einem deutlich geringerem Anteil Schwachstellen- und Verwundbarkeitsanalysen durchführen: 34 Prozent in Deutschland versus 55 Prozent in Nordamerika, 50 Prozent in Asien und 46 Prozent in Südamerika.

Deutschland schneidet im internationalen Vergleich schlecht ab

Die organisatorischen Schwachstellen zeigen sich auch bei der personellen Struktur der IT-Sicherheit: In Deutschland beschäftigen nur 28 Prozent der Unternehmen einen Chief Information Security Officer. Im Vergleich dazu liegt Europa mit 45 Prozent im internationalen Durschnitt. Auch einen Chief Security Officer haben lediglich 24 Prozent der deutschen Teilnehmer. Global und in Europa sind es etwa 41 Prozent. Damit fällt Deutschland im internationalen Vergleich weit ab.

Auch die Dokumentation und Kommunikation über sicherheitsrelevante Vorfälle lässt in deutschen Unternehmen zu wünschen übrig: 61 Prozent aller deutschen Befragten konnten keine Angaben zu Anzahl und Art sicherheitsrelevanter Vorfälle machen. Bei den global Befragten konnten nur 32 Prozent diese Frage nicht beantworten.

"Die Umfrageergebnisse zeigen, dass die IT-Sicherheit im Jahr 2010 einen hohen Stellwert hat. Gerade deutsche Unternehmen haben aber an einigen Stellen Nachholbedarf. Hier sollten sie handeln, um im internationalen Vergleich nicht weiter abzufallen", so das Fazit von Ralph Noll.