Dell-Studie: Ineffiziente Sicherheitssilos bestimmen den IT-Alltag
Frankfurt am Main, 20. Januar 2016 – Die IT-Sicherheit vieler Unternehmen ist oft unzureichend, so das Ergebnis einer Studie von Dell: zentrale IT-Sicherheitsabteilungen fehlen, IT-Bereiche stimmen sich nicht ab und Systeme sind veraltet. Der Kampf gegen moderne Sicherheitsbedrohungen ist auf dieser Basis so gut wie aussichtslos.
Angesichts immer aggressiverer und raffinierterer Sicherheitsattacken befindet sich die IT-Sicherheit zahlreicher Unternehmen im Hintertreffen: vor allem fehlt bei vielen ein integrierter Ansatz. IT-Sicherheit wird meist disruptiv organisiert, ist also applikationsgebunden oder fällt in die Verantwortung einzelner IT-Bereiche, die sich nicht untereinander abstimmen. So gab im Rahmen der Dell-Studie (1) nur eine Minderheit (23%) der 175 befragten IT-Verantwortlichen an, ihr Unternehmen verfüge über eine zentrale IT-Sicherheitsabteilung. Dabei zeichnete sich ein klarer Trend ab, wonach kleinere Firmen bis 200 Mitarbeiter nur selten über eine solche Abteilung verfügen (8%), während Unternehmen ab 1.000 Mitarbeiter hier bei über 30% liegen. Der Anteil steigt weiter mit der Unternehmensgröße an.
Die Position des CISO (Chief Information Security Officer) haben im Durchschnitt nur 6% aller Unternehmen eingerichtet, so die Angaben der Befragten. Auch hier besteht eine klare Korrelation zur Mitarbeiterzahl: je größer das Unternehmen, desto häufiger existiert ein CISO. Zentrale CISO-Aufgabe ist es, ein integriertes Sicherheitsregelwerk aufzustellen, das sämtliche sicherheitsrelevanten Prozesse im Unternehmen berücksichtigt und die IT möglichst effizient vor Angriffen schützt.
In aller Regel zeichnet nach Angabe der Befragten der CIO oder IT-Leiter neben seinen zahlreichen sonstigen Aufgaben für die IT-Sicherheit eines Unternehmens verantwortlich (64%), oft sind es Applikations- oder Bereichsverantwortliche (15%), sonstige IT-Mitarbeiter, an die die Aufgabe delegiert wurde (12%), der CISO (6%) oder, in seltenen Fällen, der Geschäftsführer des Unternehmens (3%).
„Die Sicht von oben fehlt. Wir stellen immer wieder fest, dass vor allem kleinere und mittlere Unternehmen über keine übergreifende IT-Sicherheitsstrategie verfügen“, erklärt André Lutermann, Security-Experte bei Dell. „Es ist ein offenes Geheimnis, dass unterschiedliche IT-Bereiche, etwa Netzwerke, CRM oder ERP, ihr eigenes Sicherheits-Süppchen kochen und sich nur ungern untereinander abstimmen. Zugeben will das aber kaum jemand. Wir dürfen uns nichts vormachen: genauso, wie heute Informationssilos verbreitet sind, sind es leider auch Sicherheitssilos.“
IT-Sicherheit ist veraltet
Über die Hälfte der Befragten (55%) gab an, die IT-Sicherheit in ihrem Unternehmen sei nicht auf dem neuesten Stand. Als Hauptgrund dafür nannten sie das bisherige Ausbleiben ernsthafter Sicherheitsvorfälle (57%). Als weitere Gründe gaben sie an: zu geringes IT-Sicherheitsbudget (56%), das Fehlen qualifizierten Sicherheitspersonals (55%) und die mangelnde Sensibilisierung des Top-Managements für das Thema IT-Sicherheit (37%) (2).
Bei vielen Unternehmen besteht offensichtlich so lange kein Handlungsbedarf, ihre IT-Sicherheit auf den Prüfstand zu stellen, bis es dann zu einem ernsten Sicherheitsvorfall kommt. Das aber ist fatal, denn anders als in der physischen Welt verschwinden etwa beim Datendiebstahl keine Daten, sie werden ja lediglich – meist unbemerkt – kopiert. Einbruchsspuren in das Firmennetz sind im Alltagsbetrieb ebenso wenig offensichtlich, weil die entsprechenden umfangreichen Logs meist aus Zeitgründen kaum analysiert werden; und interne Sicherheitslücken, etwa die unerlaubte Weitergabe von Daten durch betrügerische Mitarbeiter, sind ebenfalls so gut wie nicht feststellbar. „Der Sinn jeglicher Sicherheitsmaßnahmen ist die Vorbeugung“, betont Lutermann. „Unternehmen, die erst Vorfälle abwarten, um dann zu handeln, spielen gleich in zweierlei Hinsicht mit dem Feuer: erstens kann Sicherheit im Nachhinein den Schaden nicht verhindern, man zahlt also doppelt; und zweitens sind sie mit hoher Wahrscheinlichkeit ohnehin schon Opfer von Sicherheitsangriffen geworden, ohne es bemerkt zu haben.“
Die Tragweite dieses Verhaltens ist gigantisch. Viele Unternehmen müssen davon ausgehen, dass kritische Daten – etwa Kundendaten – bereits unbemerkt entwendet wurden. Und wenn Konstruktionsdaten oder Kostenvoranschläge das Ziel von Hackern waren, steht zu erwarten, dass Wettbewerber ähnliche Produkte auf den Markt bringen oder sie bei Ausschreibungen regelmäßig ausstechen.
Spezifische Sicherheitslösungen zu wenig eingesetzt
Spezifische IT-Sicherheitslösungen, die helfen, fortschrittliche Sicherheitsbedrohungen abzuwehren, setzen Unternehmen laut der Dell-Studie nur selten und zögerlich ein: DLP (Data Leak Prevention)-Lösungen etwa gibt es laut der Befragten in nur 28% der Unternehmen, Privileged-Account-Management-Lösungen sind in lediglich 48% der Firmen vorhanden, dedizierte Mobile-Security-Managementlösungen in 47% und Intrusion-Detection-Systeme in immerhin 65%. (2)
Für die Optimierung der IT-Sicherheit in ihren Unternehmen hatten die Befragten indes genaue Vorstellungen: wenn sie die Wahl hätten, würden sie verstärkt Mitarbeiter schulen (72%), zusätzliche externe Sicherheitsexpertise einkaufen (53%), bessere Produkte oder Lösungen einsetzen (47%), mehr Personal einstellen (47%) oder eine zentrale IT-Sicherheitsabteilung einrichten (35%). (2)
Flickschusterei ist wenig effektiv
„Es ist schon fast eine paradoxe Situation“, gibt Lutermann zu bedenken, „Sicherheitsrisiken steigen, aber viele Unternehmen investieren nicht entsprechend ihrer Risiken. Mit den Jahren ist zwar ein fröhliches Sammelsurium von IT-Sicherheitsmaßnahmen entstanden, die auf den ersten Blick beruhigend wirken. Wenn sie aber in getrennten Silos abgekapselt sind und nie aufeinander abgestimmt wurden, bleiben oft große Sicherheitslücken bestehen.“
Diese Flickschusterei ist demzufolge wenig effektiv: Wegen dieser Lücken können Unternehmen nur schwer mit den immer raffinierteren Angriffen auf ihre IT Schritt halten. Dabei gehen sie große Risiken ein, denn es geht um mehr als nur um den Verlust vereinzelter Daten: Wo Informationssilos höchstens die Flexibilität der IT einschränken, gefährden Sicherheitssilos die Kernsubstanz eines Unternehmens.
Die Frage ist nicht allein, was IT-Sicherheit kostet
Auf die Frage, wie sie das Bewusstsein ihrer Führungsetagen für Sicherheit in der IT bewerten würden, gaben die Befragten im Schnitt eine Note von 3,8 auf einer Skala von 5 Punkten. „Vor allem nach der NSA-Affäre haben Führungskräfte tatsächlich ein geschärftes Bewusstsein entwickelt“, so Lutermann. Das allein reiche aber nicht, denn darauf müsse auch die Einsicht folgen, dass IT-Sicherheit adäquate Budgets benötigt. Oft geben sie die Führungskräfte aber nur widerwillig frei, weil Vorteile für das Unternehmen nicht unmittelbar ersichtlich sind. „IT-Verantwortliche müssen lernen, ihre Geschäftsleitung nach Geschäftszielen und -risiken zu fragen und IT-Sicherheit übergreifend darauf abzustimmen. So schaffen sie einen unmittelbaren Mehrwert für das Unternehmen. Die Frage, die sich die Führungsetagen stellen müssen, ist aber nicht, was IT-Sicherheit kostet, sondern was es kostet, wenn IT-Sicherheit versagt, wie also ein Sicherheitsvorfall und fehlende Sicherheitsmaßnahmen die Erreichung dieser Geschäftsziele negativ beeinflussen“, bemerkt Lutermann.
Der beste Schutz gegen die zunehmenden Sicherheitsbedrohungen sind angemessene Budgets, die möglichst effizient eingesetzt werden, insbesondere für den Aufbau und Betrieb einer zentralen IT-Sicherheitsabteilung. Deren Aufgabe ist es nicht nur, eine integrierte Sicherheitsstrategie zu entwickeln, sondern auch dafür zu sorgen, dass die daraus entstandenen Maßnahmen und Richtlinien sinnvoll und übergreifend durchgesetzt werden. Ausreichend qualifiziertes IT-Sicherheitspersonal ist dafür essenziell.
(1) Befragt wurden 175 IT-Verantwortliche in deutschen Unternehmen jeder Branche und Größe. Befragungszeitraum war September und Oktober 2015.
(2) Mehrfachnennungen möglich