Trotz dieser Bedrohungslage reagieren viele Unternehmen nur zögerlich: Sicherheitssysteme sind häufig veraltet, die Organisation hält mit den Bedrohungen kaum Schritt. Vor allem geht das Topmanagement seit Jahr und Tag eher sparsam mit Budgets für IT-Sicherheit um. Das muss sich ändern!
Manager sind ja routinierte Denkprofis, die tagein, tagaus nichts anderes tun, als Situationen analysieren, Szenarien durchgehen und Probleme sezieren. Sie sind im Normalfall jederzeit in der Lage, die Gesetze der Logik mühelos und zielgerichtet anzuwenden.
Das geschieht nicht immer. Eine Aberration des stringenten Den-kens hält sich sichtbar hartnäckig bei der IT-Sicherheit. Hier agieren viele Manager in den Top-Etagen, aber oftmals auch in den IT-Fachabteilungen immer wieder entgegen jeglicher Logik und Wahrscheinlichkeit. Jeweiliges Versäumnis gerade dort hat aber über kurz oder lang fatale Folgen.
Foto: NTT Com Security
Genau diese - global auftretende - Diskrepanz wurde in einer aktuellen Studie bestätigt. Hiefür wurden 1.000 Business-Entscheider aus sieben Ländern: jeweils 200 aus Deutschland, Großbritannien und den USA sowie je 100 aus Frankreich, Norwegen, Schweden und der Schweiz. Zum Zuge kamen dabei Unternehmen jeder Größe und Branche, allem voran Finanzdienstleis-ter (32 Prozent), Einzelhändler (14 Prozent) und Fertigungsbetriebe (acht Prozent).
Das Ergebnis in Kurzform: Widersprüche - vor allem dann, wenn es ums Geld geht
18 Prozent der Befragten sind der Meinung, dass mangelnde IT-Sicherheit die größte Einzelgefahr für ihr Unternehmen darstellt
nur 22 Prozent glauben, dass alle Daten in ihrem Unternehmen vollständig sicher gespeichert sind
54 Prozent gaben an, dass die Sicherheit der Daten in ihrem Un-ternehmen einen Schlüsselrolle einnimmt
52 Prozent gehen davon aus, dass formale IT-Sicherheitsrichtlinien im Unternehmen existieren
98 Prozent glauben, dass es nach einem Sicherheitsvorfall negati-ve Auswirkungen für das Unternehmen gibt. Im Durchschnitt rechnen sie mit Umsatzeinbußen um 13 Prozent
die durchschnittlichen Kosten eines IT-Sicherheitseinbruchs schätzen die Befragten auf 907.000 Dollar
73 Prozent meinen, dass IT-Informationssicherheit ein wichtiges Thema für die Führungsebene ist
46 Prozent gehen davon aus, dass Mitarbeiter zu den drei schwächsten Gliedern bei der IT-Sicherheit gehören
Hier agieren viele Führungskräfte zu zurückhaltend, denn angesichts der massiven Bedrohung investieren sie viel zu wenig, um die IT ihres Unternehmens zu schützen. Mahner beziehungsweise IT-Sicherheitsrealisten werden mit dem Hinweis vertröstet, das Budgets für notwendige Modernisierungen nicht zur Verfügung stehen, da das eigene Unternehmen nicht im Fokus von Angreifern steht oder hier ohnehin noch nie etwas passiert ist.
Die globale Wirtschaft hängt am Datentropf
Der Wert von Daten in Unternehmen steigt unaufhaltsam an; nicht nur, weil sie immer mehr Daten speichern, sondern auch, weil sie immer kritischere Daten vorhalten. Dazu gehören operative Produktionsdaten, die - wenn gelöscht - schnell Millionen Verluste verursachen können, weil zum Beispiel eine Produktionsstraße steht; Daten von Kunden und Interessenten, die auf keinen Fall in falsche Hände oder in die Öffentlichkeit geraten dürfen; oder auch IP (Intellectual Property)-Daten über streng geheime Produktentwicklungen oder Strategien, deren Entwenden ein Unternehmen schnell in den Ruin treiben kann, wenn sie bei skrupellosen Wettbewerbern landen.
Der Zugriff auf Unternehmensdaten muss andererseits stets hoch-verfügbar sein. Ist das nicht mehr möglich, etwa dann, wenn Hacker komplette Server zwecks Erpressung verschlüsseln oder wenn sie DDoS-Attacken durchführen, um ganze Server-Farmen in die Knie zu zwingen, ist ein Unternehmen so gut wie gelähmt. Dann wird der tatsächliche Wert von Daten wirklich greifbar: sie sind im Grunde unbezahlbar. Die heutige globale Wirtschaft hängt am Tropf der Informationen und Datenbanken.
Foto: Michael Nivelet - Fotolia
In einem Umfeld mit solcher Brisanz sollten Unternehmen ihre Daten nicht einfach nur "gut schützen", sondern alle nur denkbaren Anstrengungen in Erwägung ziehen, um erstens den unerlaubten externen Zugang zu ihrer IT-Infrastruktur wirksam zu blockieren, und zweitens etwaige unachtsame Mitarbeiter oder gar getarnte Profi-Spione daran zu hindern, Daten unberechtigterweise zu sichten, zu kopieren, zu speichern, zu verändern oder zu löschen.
Daten sind nicht sicher gespeichert
Aber nicht einmal jeder vierte Befragte der Studie (22 Prozent) war der Meinung, dass die Gesamtheit der Daten in seinem Unternehmen "vollständig sicher" gespeichert sei. Im Umkehrschluss heißt das ja wohl, dass die große Mehrheit der Befragten davon ausgeht, Daten seien in ihrem Unternehmen nicht ausreichend geschützt. Gleich-zeitig erwarten rund zwei Drittel der befragten Entscheider (65 Prozent) in absehbarer Zeit einen Einbruch, der die IT-Sicherheit kompromittiert und das Unternehmen im Schnitt rund 900.000 Dollar kostet, so ihre Einschätzung.
Als damit einhergehender Schaden kommt höchstwahrscheinlich hinzu, wenn der Einbruch denn bekannt wird, dass Kunden - berechtigterweise - ihr Vertrauen in das Unternehmen verlieren, oder dass dessen Reputation am Markt leidet. So etwas kann als Folgeschaden schnell zu einem empfindlichen Umsatzeinbruch führen, der sich dann nur schwer quantifizieren lässt.
Disruptive Geldquellen und Silodenken
Es gibt weitere irritierende Ergebnisse in der Studie. Für 73 Prozent der Manager in Vorstandsetage oder Geschäftsleitung, so erklären die Befragten, hat die Einhaltung der IT-Sicherheit eine "vorrangige" Priorität, sie steht also an erster Stelle vor allen anderen Themen. Spätestens seit der Snowden- oder NSA-Affäre ist IT-Security offensichtlich ins Bewusstsein auch der Unternehmenslenker gerückt, die sich nicht primär mit IT beschäftigen; das ist eine positive Entwicklung.
Trotzdem wird diese Haltung nicht in den Budgets wider-gespiegelt: für IT-Sicherheit geben Unternehmen nicht nur deutlich weniger als jeweils für Marketing, Vertrieb, Entwicklung, Human Resources oder andere Bereiche aus, so die Befragten. Die Gelder für IT-Sicherheit stammen auch aus unterschiedlichen Bereichen: sowohl aus dem IT-Gesamtetat als auch aus dem operativen Betrieb.
Foto: Vitaly Korovin - shutterstock.com
Diese unterschiedlichen Geldquellen sind gleichzeitig ein Indiz für eine altbekannte, aber auch unglückliche Organisationsstruktur: IT-Sicherheit wird in vielen Unternehmen nämlich nicht zentral organisiert, sondern ist getrennt in den unterschiedlichen, historisch gewachsenen IT-Subbereichen wie Netzwerke, CRM oder ERP beheimatet, wo die jeweiligen Bereichsverantwortlichen ihre eigene, isolierte IT-Sicherheitsstrategie verfolgen.
Es ist auch ein offenes Geheimnis, dass sie sich nur ungern untereinander abstimmen und oftmals isolierte Inseln wie zum Beispiel SAP-Umgebungen existieren. Das führt dazu, dass die Sicht von oben fehlt und eine allumfassende IT-Sicherheitsstrategie so gut wie gar nicht durchführbar ist.
Zum Video: IT-Security-Budgets rational planen
Die Mehrzahl der Unternehmen verbessern ständig die Features und Prozesse ihrer IT-Sicherheit. Angesichts des verbreiteten Sicherheitssilo-Denkens in den Unternehmen klingt diese Zahl allerdings vielmehr ernüchternd als aufmunternd, denn es ist davon auszugehen, dass wohl an vielen Sicherheitsstellschrauben in den einzelnen IT-Bereichen gedreht wird, die nicht miteinander verbunden sind.
Nach Effizienzwunder klingt das nicht, und so ist es auch nicht überraschend, dass, völlig unabhängig von der Studie, die überragende Anzahl der Unternehmen davon ausgeht, dass unentdeckte Schwachstellen in der IT-Sicherheit lauern - die IT-Sicherheit also nicht auf dem neuesten Stand ist. Gerade vor dem Hintergrund der hochprofessionellen Angreifer mit flexiblen und gezielten Angriffsstrategien ist das eine wahrhaft erschreckende Realität.
Stringentes Vorgehen bei IT-Security-Projekten
Der Zustand der IT-Sicherheit in vielen Unternehmen ist nach dem heutigen Stand also - desillusionierend. Eine konzertierte Aktion aller Akteure wäre wünschenswert, um eine Status-Quo-Analyse durchzuführen und verbindliche Ziele zu definieren.
Dazu gehören:
die schriftliche Festlegung der Bedeutung von IT-Sicherheit
die Verbesserung der Kommunikation aller IT-Bereiche und deren Abstimmung
die Einrichtung einer zentralen IT-Sicherheitsabteilung und der entsprechenden Position, idealerweise eines CSO (Chief Security Officer)
ein präzises Reporting an die C-Ebene, die ein Gefühl für die tatsächlichen Gefahren entwickeln muss. Das geht nur, wenn sie die konkreten Fälle schwarz auf weiß vorliegen haben
eine umfassende IT-Sicherheitsschulung für Mitarbeiter
und ein solides Budgetfundament, das weit über die gegenwärtigen Budgets hinausgehen muss
Die Frage nach den Kosten ist falsch
Budgets für IT-Sicherheit, das ist so ein Thema: Führungskräfte geben sie oft nur widerwillig frei, weil sie einerseits den unmittelbaren Nutzen nicht begreifen, andererseits dem allgemeinen Renditedruck unterliegen und seit vielen Jahren das Thema Kostensenkung im Mittelpunkt steht. In diesem Spannungsverhältnis ist es eben nicht immer einfach, die Spendierhosen anzuhaben.
Damit sind sie aber auch Mitgestalter der Misere, denn mit knappen Sicherheitsbudgets kann die IT-Abteilung eben auch nicht zaubern. Umso wichtiger ist ein detailliertes Reporting mit den harten Zahlen über versuchte und tatsächliche Einbrüche in die IT-Infrastruktur. Leistungen müssen transparent gemacht werden!
Vielleicht müssen Führungskräfte anders herum denken; sie sollten sich nicht damit beschäftigen, wie teuer IT-Sicherheit ist, sondern sich überlegen, was es kostet und welche Konsequenzen es hat, wenn IT-Sicherheit versagt. Das kann nicht nur exorbitant viel teurer werden, sondern sehr schnell das gesamte Unternehmen gefährden. Diese rationale Sichtweise sollte in den Köpfen der Entscheider fest verankert sein. (rw)
Foto: Nomad_Soul - shutterstock.com