Anfang 2012 befragte das Marktforschungsinstitut Evaluserve im Auftrag von McAfee 495 Unternehmen mit mehr als 1.000 Mitarbeiter zum Stand ihrer IT-Security. Der Sicherheitsspezialist wollte von diesen Firmen wissen, wie gut sie ihr Netzwerk vor internen und externen Bedrohungen schützen. Unter den befragten Unternehmen befanden sich auch 70 aus Deutschland, die weiteren in die Erhebung einbezogenen Länder waren: USA, Kanada, Großbritannien, Frankreich, Brasilien, Australien, Singapur und Neuseeland.
Zuallererst wurde festgestellt, welche Security-Strategie die befragten Unternehmen allgemein verfolgen. Sie wurden von McAfee zunächst aufgefordert, den Reifegrad ihrer Sicherheitssysteme in vordefinierte Kategorien einzuordnen: reaktiv, compliant, proaktiv und optimiert. Die Frage lautete: "Wie sicher sind Sie?"
Neun Prozent der im Auftrag von McAfee befragten Firmen bezeichnen sich selbst als "reaktiv", das heißt, sie verwenden einen Ad-hoc-Ansatz zur Definition von Sicherheitsprozessen und agierten ausschließlich ereignisgesteuert. 32 Prozent der untersuchten Firmen ordneten sich nach einer gründlichen Selbsteinschätzung der Kategorie "compliant" ("gesetzesgemäß") zu. Diese Firmen haben also bereits einige Sicherheitsmaßnahmen ergriffen, die installierten Systeme sind aber nach der Definition von McAfee noch nicht komplett standardisiert. Die sich als "compliant" verstehenden Firmen halten sich zwar bereits an einige Sicherheitsstandards, erfüllen damit aber nur gewissen Mindestanforderungen an IT-Sicherheit, so die Analyse von McAfee.
Zu den sich selbst als "proaktiv" einschätzenden Unternehmen zählen 43 Prozent der im Auftrag von McAfee Befragten. Diese Companys folgen bereits standardisierten Sicherheitsrichtlinien, haben zentralisierte Steuerungen und einige integrierte Security-Lösungen im Einsatz. Als "optimiert" fühlen sich 16 Prozent der untersuchten Unternehmen. Nur diese orientieren sich strikt an den "Best Practices" der Branche und halten ihre Sicherheitsrichtlinien strikt ein. Automatisierte Sicherheitslösungen sind im gesamten Unternehmen integriert.
In dem "State of Security"-Report stellten Unternehmen eine deutliche Zunahme und Ausdauer von Cyber-Angriffen fest. 79 Prozent aller befragten waren von solchen Attacken bereits direkt betroffen. Und die Cyber-Kriminellen lassen nicht locker.
"Jede Organisation benötigt einen mehrschichtigen IT-Security-Ansatz. Erschwert wird die Einhaltung der Sicherheit zusätzlich dadurch, dass Unternehmen weit über die Grenzen ihrer Büroräume und Firewalls hinaus wachsen", analysiert Hans-Peter Bauer, Zentral- und Osteuropa-Chef bei McAfee. "Netzwerkzugänge werden für Geschäftspartner, aber auch für Leiharbeiter oder Kunden eröffnet. Arbeitnehmer nutzen das Unternehmensnetzwerk über mobile Endgeräte, von denen viele in Privatbesitz und somit nicht unter Kontrolle der Organisation sind. Unternehmensdaten und Anwendungen werden mehr und mehr in öffentliche und hybride Cloud-Umgebungen gespeichert, wo ihre Besitzer wenig direkte Kontrolle über ihre Sicherheit haben. Für all dies benötigt man einen strategischen Plan zur Gefahrenabwehr", so der McAfee-Manager weiter.
Der "State of Security"-Report von McAfee versucht nun aufzuzeigen, wie IT-Entscheidungsträger die Herausforderungen der Informationssicherheit in einem stark regulierten und komplexen globalen Umfeld bewerten. Außerdem sind dort die Prioritäten in der IT-Sicherheit bei Prozessen, Praktiken und Technologien für das Jahr 2012 aufgelistet. (rw).