Deutsche Firmen sind gut mit IT-Sicherheitsprodukten ausgestattet, so das Ergebnis einer Experton-Umfrage. Sich wandelnde Geschäftsprozesse und Bedrohungen zwingen jedoch dazu, die Sicherheitsstrategie immer wieder zu überprüfen.
Trotz stagnierender oder rückläufiger IT-Budgets wollen die CIOs 2009 nicht auf zusätzliche Sicherheitsinvestitionen verzichten. Der Markt wird voraussichtlich um knapp sechs Prozent wachsen. Zu diesen Ergebnissen kommt eine aktuelle Studie der Experton Group[1]. "Priorität haben dabei Maßnahmen, die den Leidensdruck der Unternehmen spürbar lindern, nachweislich ein gutes Kosten-Nutzen-Verhältnis haben und mit einem überschaubaren Projektrisiko verbunden sind", sagt Wolfram Funk, Senior Advisor bei dem Marktforschungsunternehmen.
Dazu zählen insbesondere die revisionssichere E-Mail-Archivierung, die bei 33 Prozent der Befragten Unternehmen ansteht, E-Mail-Verschlüsselung (21 Prozent), Festplattenverschlüsselung (18 Prozent) und Lösungen für eine starke Authentifizierung (16 Prozent). "Besonders E-Mail-Archivierung und Verschlüsselung zeigen den Trend, dass Aufbewahrung und Sicherheit bei E-Mails immer mehr verschmelzen", so Funk. "Die Gründe hierfür sind nicht zuletzt regulatorische Auflagen und die zunehmende E-Mail-Flut."
Wie die Studie weiter zeigt, gehören Firewalls mittlerweile zur Standardausrüstung. 94 Prozent der Befragten setzen sie ein. Messaging-Sicherheit am Server und am Gateway in Verbindung mit dem Schutz vor Malware, Spam und Phishing verwenden 88 Prozent, Virtual Private Networks (VPN[2]) auf Basis von IPsec[3] oder SSL/TLS[4] nutzen 86 Prozent. Zu den weit verbreiteten Grundlagen zählen zudem Messaging-Sicherheit am Client (75 Prozent) und Web Content Filtering am Gateway und am Server (73 Prozent).
"Trotzdem müssen gerade diese Technologien, die gerade einmal ein Mindestmaß an Sicherheit gewähren, aufgrund der aktuellen Bedrohungslage einer kritischen Befragung unterzogen werden", fordert Mirco Rohr, Technologiespezialist bei Kaspersky[5]. Denn die kriminelle Energie von Hackern finde angesichts des lukrativen Geschäfts immer neue Nahrung. Die Branche der Datendiebe, die mittlerweile über ein gut funktionierendes Ökosystem verfüge, setzt nach Angaben von Kaspersky Lab jährlich etwa 150 Milliarden US-Dollar um - ungefähr so viel wie der Drogenhandel. Zwar sind die Spam-Attacken leicht zurückgegangen, dennoch bleiben sie sehr einträglich. "Wenn auf eine Spam-Attacke auch nur ein Prozent der Angegriffenen reagiert, dann macht das für den Hacker einen Reingewinn von 300.000 Dollar", rechnet Rohr vor. Kein Wunder also, dass die Zahl der neuen Malware jährlich um über 100 Prozent zunimmt. Die Tendenz geht dabei in Richtung Trojaner, die mit 90 Prozent den Löwenanteil ausmachen.
Die Hacker wollen sich damit E-Mail-Adressen, Kontonummern oder Sozialversicherungsdaten beschaffen. 70 Prozent der Trojaner seien nur dazu hergestellt, um an diese Informationen zu kommen, die die Hacker dann weiterverkaufen. Die Gefahr kommt aber nicht nur von außen. In Mode gekommen ist insbesondere das so genannte Social Engineering, die zwischenmenschliche Beeinflussung mit dem Ziel, unberechtigt an Daten zu gelangen. Nicht zuletzt die Wirtschaftskrise treibe diese Entwicklung voran, so Rohr.
Die Entwicklung der Bedrohungslage geht mit der veränderten Geschäftswelt einher. Immer mehr webbasierende Anwendungen bringen auch die Zunahme von neuen, komplexen Protokollen mit sich, die entweder eigene Proxies benötigen oder für die Löcher in den Filtern der etablierten Sicherheitstechnologien eingerichtet werden müssen. Das Resultat: Das Internet ist im Unternehmen, die Firewall wird zum Treibnetz, das nur noch einen geringen Prozentsatz an Schadprogrammen auffängt.
"Verstärkt wird diese Tendenz noch durch den Wandel in der strategischen Kommunikation", so Rohr. Laptops, Smartphones und PDAs öffnen das Unternehmensnetzwerk. Datenbanken und Unternehmenssoftware wie CRM sind nicht mehr nur Inhouse-Lösungen, sondern werden über externe Dienstleister bezogen. Ein Eldorado für Angreifer, denen sich immer mehr Ansatzpunkte bieten. Angesichts dieser Entwicklungen sieht Rohr den Schutz des geistigen Eigentums und die Haftungsansprüche an die Verantwortlichen als wesentliche Beweggründe für Sicherheitsmaßnahmen. Dabei rücke die Frage immer mehr in den Vordergrund, wann sich Sicherheit bezahlt mache.
"Ein Return on Investment ist für Sicherheitsmaßnahmen nur schwer zu bestimmen", gibt Rohr zu. "Unternehmen sollten deshalb für Transparenz sorgen." Dazu gehöre vor allem, dass die Sicherheitsverantwortlichen die Sprache der Geschäftsleitung verstünden und dass sie beziffern könnten, was geeignete Sicherheitsmaßnahmen kosteten, beispielsweise wenn die Führung mehr Mobilität fordere.
 |
| "Grundlegende Sicherheitstechnologien müssen aufgrund der aktuellen Bedrohungslage einer kritischen Befragung unterzogen werden", fordert Mirco Rohr, Technical Evangelist bei Kaspersky Lab Europe (Bild: Kaspersky). |
"Was sich relativ genau beziffern lässt, ist, inwiefern sich die Kosten für IT-Sicherheitsmaßnahmen auf den Gewinn des Unternehmens auswirken", sagt Rohr. Stichwort: Return on Security Investment (ROSI). Dieser berechnet sich aus den erwarteten Verlusten vor der Kontrolle minus die erwarteten Verluste nach der Kontrolle, minus die jährlichen Kosten der Kontrolle. Dieser ROSI trage nicht zuletzt zur Transparenz der Sicherheitsmaßnahmen bei, die dann gezielt und unter Berücksichtigung des Risikos eingesetzt werden könnten.
URLs in diesem Artikel:
[1] = http:/
[2] = http:/
[3] = http:/
[4] = http:/
[5] = http:/