Weltweit werden Unternehmen 2011 mehr als 50 Milliarden Dollar für ihre IT-Sicherheit ausgeben, heißt es in einer Gartner-Studie. Allein in Deutschland sollen die Investitionen in sicherere IT-Infrastrukturen um etwa zehn Prozent steigen. Die Bundesregierung initiiert eine "Cyber-Sicherheitsstrategie für Deutschland". Die Unternehmen hierzulande sind gefordert. Denn drei Viertel der kritischen Infrastruktur des Cyber-Raumes ist in privater Hand.
Viel zu tun für IT-Security-Dienstleister
"Die Interessenslage der Unternehmen - wie etwa die Absicht, Gewinne zu erzielen - führt möglicherweise zu einer anderen Einschätzung der notwendigen IT-Sicherheitsmaßnahmen, als es dem Sicherheitsbedürfnis der Kunden oder der Bevölkerung entspricht, sagt Gerhard Spiegel, IT-Sicherheitsexperte bei Steria Mummert Consulting.
Dass die Lage ernst ist, zeigt sich auch anhand der Empfehlung der Bundesregierung. Diese spricht sich gegen den verstärkten Einsatz von stadardisierten IT- und Softwarekomponenten aus. "Das Problem liegt nicht so sehr in der Standardisierung von IT- und Softwareprodukten, sondern im fehlenden generellen Sicherheitsbewusstsein", erläutert Spiegel. Ursächlich hierfür sei, dass man mangelnde Integrität von Daten nicht riechen, schmecken oder spüren könne.
Smartphone als Sicherheitsleck
Der Zusammenhang zwischen Ursache und Wirkung von Cyberattaken sei oft nicht unmittelbar sichtbar. "Wer verbindet schon automatisch den Verlust eines geschäftlich genutzten Smartphones samt der darauf gespeicherten vertraulichen Daten mit einer einige Wochen später verlorenen Ausschreibung durch einen Wissensvorsprung des Wettbewerbs?", fragt Spiegel.
Gerade die Nutzung von Smartphones ist problematisch. Denn jeder zweite Besitzer benutzt das Gerät nicht nur privat, sondern auch für geschäftliche Zwecke. Acht von zehn Anwendern räumen dabei sogar ein, sich ohne Erlaubnis des Arbeitgebers in das Firmennetzwerk einzuwählen. "Allein in diesem Bereich tut sich ein riesiger Handlungsbedarf für die Unternehmen auf - übrigens auch schon ganz ohne nationale Cyber-Abwehrstrategie", so IT-Sicherheitsexperte Spiegel.
Ein nationales Cyber-Abwehrzentrum müsse demnach das tatsächliche Risiko für deutsche Unternehmen und die Bevölkerung vernünftig einzuschätzen und bezahlbare Maßnahmen ableiten. "Eine wichtige Aufgabe einer solchen Institution ist aber auch, deutlich zu machen, wo die eigenen Möglichkeiten enden und wo die Unternehmen mit eigenen Maßnahmen in die Pflicht genommen werden müssen, wobei die Betonung auf Pflicht liegt." (pte/rw)