An welcher Stelle sehen Sie bei den deutschen Unternehmen die größten Lücken in Bezug auf IT-Sicherheit?
Scheidemann: Die größte Lücke schafft der Mensch selbst. Erstens, weil die meisten Sicherheitsprobleme aus alltäglichen menschlichen Fehlern resultieren. Und zweitens, weil viele Verantwortliche denken, dass ihnen schon nichts passieren wird. Deshalb verzichten sie auf ausreichende Sicherheitsmaßnahmen. Hier liegt das größte Problem.
Aus technischer Sicht ist vor allem die umfassende Verschlüsselung sensibler Dokumente nötig, gepaart mit einem intelligenten Zugriffsmanagement. Die wenigsten Unternehmen haben so etwas, dabei gibt es gute Lösungen am Markt.
Aus Ihrer Erfahrung betrachtet: Welche Einstellungen und Umstände bei den Entscheidern verhindern die Einführung wirksamer Schutzmechanismen?
Scheidemann: Viele Verantwortliche erkennen den Nutzen der IT-Sicherheit zu wenig, weil er sich nicht mit einem konkreten Return on Investment belegen lässt. Erst wenn das Kind in den Brunnen gefallen ist und Daten abhanden gekommen sind, setzt umso lauteres Wehklagen ein. Laut Studien des Ponemon Institutes liegt der durchschnittliche Schaden eines Datenverlustes bei über zwei Millionen Euro. Eine Investition von sagen wir 10.000 Euro in die IT-Sicherheit gilt den meisten Unternehmen aber schon als viel zu hoch. Diese Diskrepanz verstehe, wer will.
Das Bemühen um IT-Sicherheit wird als störend empfunden und steht im Verdacht, die Arbeitseffizienz zu behindern. Deshalb erleben wir es oft, dass andere IT-Projekte der Sicherheit vorgezogen werden. Moderne Sicherheitsprodukte wie etwa unsere eigene Lösung fideAS file enterprise sind gerade daraufhin ausgerichtet, die regelmäßigen Arbeitsabläufe nicht zu stören. Sie laufen unsichtbar als Hintergrundprozess. Aber das wissen viele Entscheider einfach nicht.
Welche neuen Trends erwarten Sie für 2010? Welche aktuellen Trends setzen sich weiter fort?
Scheidemann: Durch neue gesetzliche Regelungen in Deutschland und der EU dürfte die Nachfrage nach wirksamen Schutzmechanismen deutlich zunehmen. Denn das Bundesdatenschutzgesetz hat Datenschutzverletzungen, die durch mangelnde Absicherung entstanden sind, nicht nur mit höheren Bußgeldern versehen, sondern verlangt erstmals von den Unternehmen, zu veröffentlichen, wenn Daten ihrer Kunden oder Mitarbeiter in die falschen Hände gelangt sind. Die Angst vor dem daraus resultierenden Imageschaden wird dabei ein entscheidender Faktor sein. Leider ist es immer noch so, dass die Angst am besten dazu motiviert, wirksame Sicherheitsmaßnahmen zu ergreifen. Das liegt in der menschlichen Natur. Wir IT-Sicherheitsberater werden deshalb auch das Image der Kassandra kaum los. Hier wünsche ich mir mehr Einsicht und die Bereitschaft zu aktiver Vorsorge.
Ein Trend, der sich fortsetzen dürfte, wird für viele Unternehmen Compliance sein, also die Einhaltung gesetzlicher und anderer regulatorischer Vorschriften. Das wirkt sich auch zunehmend auf IT-Sicherheitsfragen aus. Wie häufig bei solchen Trends finden wir das Vorbild in den USA vor, wo Compliance "ein ganz heißes Ding" ist. Das wird auch in Europa so kommen. Letztlich hoffe ich darauf, dass speziell in Deutschland mehr Unternehmen erkennen, dass Wissen und Innovationskraft ihr größtes Kapital sind - und dass sie deshalb alle Daten, in denen das steckt, besonders gut schützen müssen. (rw)