Die globale Wirtschaft hängt am Datentropf
Der Wert von Daten in Unternehmen steigt unaufhaltsam an; nicht nur, weil sie immer mehr Daten speichern, sondern auch, weil sie immer kritischere Daten vorhalten. Dazu gehören operative Produktionsdaten, die - wenn gelöscht - schnell Millionen Verluste verursachen können, weil zum Beispiel eine Produktionsstraße steht; Daten von Kunden und Interessenten, die auf keinen Fall in falsche Hände oder in die Öffentlichkeit geraten dürfen; oder auch IP (Intellectual Property)-Daten über streng geheime Produktentwicklungen oder Strategien, deren Entwenden ein Unternehmen schnell in den Ruin treiben kann, wenn sie bei skrupellosen Wettbewerbern landen.
Die Bedrohungslandschaft 2015 der EU-Agentur für Netz- und Informationssicherheit zeigt die wichtigsten Cyber-Bedrohungen. Anders als viele Unternehmen glauben, hängen diese nicht alle mit dem Internet zusammen. Cyber Security ist deshalb auch nicht nur Internet Security.
Malware und Attacken aus dem Web gehören zu den häufigsten Cyber-Crime-Vorfällen.
Innerhalb nur eines Jahres hat sich die Bedrohungslage im Web drastisch verändert.
Damit ein Unternehmen abwehrbereit und widerstandsfähig gegen Cyber-Bedrohungen bleibt, muss die ganze Organisation bei der Cyber Security einbezogen werden.
Der Zugriff auf Unternehmensdaten muss andererseits stets hoch-verfügbar sein. Ist das nicht mehr möglich, etwa dann, wenn Hacker komplette Server zwecks Erpressung verschlüsseln oder wenn sie DDoS-Attacken durchführen, um ganze Server-Farmen in die Knie zu zwingen, ist ein Unternehmen so gut wie gelähmt. Dann wird der tatsächliche Wert von Daten wirklich greifbar: sie sind im Grunde unbezahlbar. Die heutige globale Wirtschaft hängt am Tropf der Informationen und Datenbanken.
Foto: Michael Nivelet - Fotolia
In einem Umfeld mit solcher Brisanz sollten Unternehmen ihre Daten nicht einfach nur "gut schützen", sondern alle nur denkbaren Anstrengungen in Erwägung ziehen, um erstens den unerlaubten externen Zugang zu ihrer IT-Infrastruktur wirksam zu blockieren, und zweitens etwaige unachtsame Mitarbeiter oder gar getarnte Profi-Spione daran zu hindern, Daten unberechtigterweise zu sichten, zu kopieren, zu speichern, zu verändern oder zu löschen.
Daten sind nicht sicher gespeichert
Aber nicht einmal jeder vierte Befragte der Studie (22 Prozent) war der Meinung, dass die Gesamtheit der Daten in seinem Unternehmen "vollständig sicher" gespeichert sei. Im Umkehrschluss heißt das ja wohl, dass die große Mehrheit der Befragten davon ausgeht, Daten seien in ihrem Unternehmen nicht ausreichend geschützt. Gleich-zeitig erwarten rund zwei Drittel der befragten Entscheider (65 Prozent) in absehbarer Zeit einen Einbruch, der die IT-Sicherheit kompromittiert und das Unternehmen im Schnitt rund 900.000 Dollar kostet, so ihre Einschätzung.
Als damit einhergehender Schaden kommt höchstwahrscheinlich hinzu, wenn der Einbruch denn bekannt wird, dass Kunden - berechtigterweise - ihr Vertrauen in das Unternehmen verlieren, oder dass dessen Reputation am Markt leidet. So etwas kann als Folgeschaden schnell zu einem empfindlichen Umsatzeinbruch führen, der sich dann nur schwer quantifizieren lässt.
Disruptive Geldquellen und Silodenken
Es gibt weitere irritierende Ergebnisse in der Studie. Für 73 Prozent der Manager in Vorstandsetage oder Geschäftsleitung, so erklären die Befragten, hat die Einhaltung der IT-Sicherheit eine "vorrangige" Priorität, sie steht also an erster Stelle vor allen anderen Themen. Spätestens seit der Snowden- oder NSA-Affäre ist IT-Security offensichtlich ins Bewusstsein auch der Unternehmenslenker gerückt, die sich nicht primär mit IT beschäftigen; das ist eine positive Entwicklung.
Trotzdem wird diese Haltung nicht in den Budgets wider-gespiegelt: für IT-Sicherheit geben Unternehmen nicht nur deutlich weniger als jeweils für Marketing, Vertrieb, Entwicklung, Human Resources oder andere Bereiche aus, so die Befragten. Die Gelder für IT-Sicherheit stammen auch aus unterschiedlichen Bereichen: sowohl aus dem IT-Gesamtetat als auch aus dem operativen Betrieb.
Foto: Vitaly Korovin - shutterstock.com
Diese unterschiedlichen Geldquellen sind gleichzeitig ein Indiz für eine altbekannte, aber auch unglückliche Organisationsstruktur: IT-Sicherheit wird in vielen Unternehmen nämlich nicht zentral organisiert, sondern ist getrennt in den unterschiedlichen, historisch gewachsenen IT-Subbereichen wie Netzwerke, CRM oder ERP beheimatet, wo die jeweiligen Bereichsverantwortlichen ihre eigene, isolierte IT-Sicherheitsstrategie verfolgen.
Es ist auch ein offenes Geheimnis, dass sie sich nur ungern untereinander abstimmen und oftmals isolierte Inseln wie zum Beispiel SAP-Umgebungen existieren. Das führt dazu, dass die Sicht von oben fehlt und eine allumfassende IT-Sicherheitsstrategie so gut wie gar nicht durchführbar ist.
Die Mehrzahl der Unternehmen verbessern ständig die Features und Prozesse ihrer IT-Sicherheit. Angesichts des verbreiteten Sicherheitssilo-Denkens in den Unternehmen klingt diese Zahl allerdings vielmehr ernüchternd als aufmunternd, denn es ist davon auszugehen, dass wohl an vielen Sicherheitsstellschrauben in den einzelnen IT-Bereichen gedreht wird, die nicht miteinander verbunden sind.
Nach Effizienzwunder klingt das nicht, und so ist es auch nicht überraschend, dass, völlig unabhängig von der Studie, die überragende Anzahl der Unternehmen davon ausgeht, dass unentdeckte Schwachstellen in der IT-Sicherheit lauern - die IT-Sicherheit also nicht auf dem neuesten Stand ist. Gerade vor dem Hintergrund der hochprofessionellen Angreifer mit flexiblen und gezielten Angriffsstrategien ist das eine wahrhaft erschreckende Realität.