Deutschen Unternehmen fehlt ein ganzheitliches Sicherheitskonzept

EnterpriseSicherheit

Statt Ende-zu-Ende-Lösungen einzusetzen, dominieren punktuelle Konzepte die Sicherheitsstrategie in Unternehmen. Der Schutz an einigen Stellen hilft aber nicht, durchgehende Abwehrbereitschaft herzustellen.

Die gute Nachtricht vorweg: Einiges in Sachen Sicherheit haben Unternehmen inzwischen verstanden. So weiß sich der überwiegende Teil der Befragten einer jetzt veröffentlichten Studie des Beratungshauses Berlecon gegen unberechtigte Datenzugriffe von außen zu schützen. 79 Prozent der Studienteilnehmer verschlüsseln den Datenverkehr oder planen dies.

Bei der Entwicklung der Sicherheitsbudgets sieht es ebenfalls nicht so schlecht aus. Fast die Hälfte aller Unternehmen (47 Prozent) plant, 2008 mehr Geld für ITK-Security auszugeben. Doch schon jetzt geht die Malaise los. Zwar wollen noch 53 Prozent der kleineren Unternehmen (der Studie zufolge solche mit 500 bis 999 Mitarbeitern) ihr Budget erhöhen. Bei Unternehmen mit mehr als 1000 Mitarbeitern sind es nur noch 39 Prozent. Dass der Rest ausreichend geschützt ist, darf angezweifelt werden.

Positiv zu bewerten sei auch, so die Analysten, dass für 47 Prozent der Befragten die unberechtigten Zugriffe der eigenen Mitarbeiter auf unternehmenskritische Datenbestände ein ernstzunehmendes Sicherheitsrisiko darstellen. Das lasse sich unter anderem daran ablesen, wie der Einsatz von Skype eingeschätzt werde. Immerhin 18 Prozent bezeichnen das Risiko als ‘hoch’ und weitere 11 Prozent als ‘sehr hoch’. Denn ohne dass die IT-Abteilung davon etwas weiß, könnten Mitarbeiter zum Beispiel Skype völlig außerhalb aller Security-Konzepte nutzen, so ein Resümmé.

In einzelnen Sicherheitsbereichen werden die Defizite aber dann doch deutlich. Bei mobilen Endgeräten hapert es, genauso bei Voice-over-IP. Nur 30 Prozent der Unternehmen, die VoIP nutzen, verschlüsseln den Sprachverkehr oder planen dies. Dass Firmen auf der einen Seite ein Gespür für die Probleme bekommen, andererseits aber Schwierigkeiten beim Gesamtkonzept haben, ist für die IT-Infrastruktur im Ganzen nicht gut.

Was nutzt es, wenn einheitliche und umfassende Security- und Compliance-Richtlinien nicht eingesetzt und regelmäßige Sicherheitsschulungen nicht durchgeführt werden sowie der Abgleich von Storage-, Servern- und den verbleibenden Netzwerkkomponenten nicht stattfindet. Es bleiben Lücken, durch die Angreifer, von innen oder von außen, schlüpfen können. Die einmalige Installation technischer Sicherheitsmaßnahmen wie Virenscanner, Firewalls oder Systeme zum zentralen Gerätemanagement bringt wenig, wenn sie nicht durch organisatorische Maßnahmen abgesichert wird.

“Trotz aller Fortschritte gehen Unternehmen in einigen Bereichen der ITK-Security ziemlich fahrlässig mit wichtigen Daten um. Das gilt nicht nur für mobile Speichergeräte, sondern auch für die internen Storagesysteme”, kommentierte Roland Schneider, District Manager Central and Eastern Europe bei Decru. Der Storage-Security-Spezialist hat zusammen mit dem ITK-Systemintegrator Damovo und Nortel die Studie initiiert, an der mehr als 100 CIOs und ITK-Leiter mit mindestens 500 Beschäftigten teilnahmen.