Unternehmen schützen vertrauliche Daten mangelhaft

Die Mehrheit der Unternehmen ist auf Angriffe auf vertrauliche Daten unzureichend vorbereitet. Gleichzeitig fürchten Sicherheitsverantwortliche externe Bedrohungen und planen höhere Investitionen in Risikomanagement-Prozesse. Das sind Ergebnisse des Global Information Security Survey 2011, den der Unternehmensberater Ernst & Young veröffentlicht hat.

An der Umfrage nahmen 1700 Experten für Informationssicherheit aus 52 Ländern teil. Demnach gewähren immer mehr Unternehmen Mitarbeitern auch außerhalb des Büros über das Internet Zugang zu Geschäftsdaten. Dadurch steigen die Risiken für die Datensicherheit, gegen die sich die Mehrzahl der Firmen noch nicht ausreichend abgesichert hat: 56 Prozent aller Unternehmen geben an, ihre Sicherheitsstrategien zum Datenschutz überprüfen oder modifizieren zu müssen, um sich besser zu schützen. Gleichzeitig sind knapp drei Viertel der Unternehmen der Ansicht, dass sich ihr Sicherheitsrisiko wegen der steigenden Zahl externer Bedrohungen erhöht hat.

Trotz dieser Entwicklung wollen die Verantwortlichen zukünftig noch stärker auf IT-Services setzen, die auf Cloud Computing basieren. 61 Prozent der befragten Unternehmen nutzen derzeit bereits Cloud Computing oder sie evaluieren oder planen dessen Einsatz innerhalb des nächsten Jahres. “Die Umfrage zeigt vor allem, dass die Kluft zwischen den Anforderungen, die das Unternehmen an die Informationssicherheit stellt und seinen Möglichkeiten, die komplexen Risiken zu minimieren, immer größer wird”, sagt Olaf Riedel, Partner bei Ernst & Young.

Grafik: Ernst & Young
Grafik: Ernst & Young

Die Unternehmen sehen sich mit immer neuen IT-Herausforderungen konfrontiert. “Der mobile Zugang der Mitarbeiter auf Daten, Cloud Services und ganze Geschäftsmodelle, die auf Cloud Computing beruhen, sind derzeit die beherrschenden Trends”, so Riedel. “Die Unternehmen beschäftigt nun vor allem die Frage, wie sie auf die damit verbundenen hohen Risiken reagieren können.” Ein Großteil der Unternehmen plant etwa die Ausgaben für Informationssicherheit anzuheben: 59 Prozent der Studienteilnehmer prognostizierten eine Erhöhung dieses Budgets, nur sechs Prozent wollen in Zukunft weniger für Sicherheit ausgeben.

Dabei investieren die Unternehmen nicht nur in einzelne Maßnahmen, sondern entwickeln umfassende Strategien, um einen Gesamtüberblick über ihre so genannte Risikolandschaft zu gewinnen. 56 Prozent der Befragten nutzen ein IT-Risikomanagement-Programm, weitere 28 Prozent planen eine Anschaffung in den nächsten zwölf Monaten. 16 Prozent waren an einer solchen Maßnahme nicht interessiert.

Die größte Sorge der Verantwortlichen ist, dass sie die Geschäftstätigkeit ihres Unternehmens nicht aufrecht erhalten können, sollte es von einer Katastrophe wie einem terroristischen Anschlag oder einem Erdbeben betroffen sein: 36 Prozent der Teilnehmer setzen deshalb ihre Top-Priorität im nächsten Jahr auf den Ausbau der ‘Business Continuity and Disaster Recovery Plans’. Auf Platz zwei folgt mit 13 Prozent der Schutz vor Datenverlust und Datenlecks.

“Obwohl sich die Unternehmen der Risiken bewusst sind, setzen sie künftig in starkem Maße auf neue technische Entwicklungen”, sagt Riedel. Cloud Computing setzt sich demnach im Business durch: Bereits 36 Prozent der Unternehmen nutzen Services, bei denen sie lediglich die Software besitzen, die Daten jedoch extern speichern. Neun Prozent der Befragten prüfen derzeit den Einsatz einer Cloud, 16 Prozent möchten sie in den nächsten zwölf Monaten etablieren. Insgesamt steigt die Anzahl der Cloud-Befürworter von 45 Prozent im Vorjahr auf 61 Prozent in diesem Jahr.

Trotz der Beliebtheit des Cloud Computing zweifeln viele Unternehmen an dessen Sicherheit: 90 Prozent der Befragten würden dieser Technik eher vertrauen, wenn sie von externen Stellen verifiziert und zertifiziert wäre. Aus diesem Grund erachten 48 Prozent die Einführung des Cloud Computing als eine große Herausforderung.

Auch Tablet-PCs sind bei den Unternehmen auf dem Vormarsch: 80 Prozent der Studienteilnehmer planen die Anschaffung solcher Geräte oder besitzen sie schon. Der Trend des Mobile Computing hat seinen Weg in den Businessbereich gefunden: In mehr als der Hälfte der Unternehmen wurden schon die Richtlinien zur Risikominimierung beim Umgang mit den mobilen Endgeräten geändert.

Die Umfrage zeigt laut Ernst & Young, dass Social Media in Unternehmen nach wie vor kritisch gesehen werden. Vor allem Risiken, wie die Einschleusung von Viren, gehackte Accounts und die Weitergabe vertraulicher Daten stehen hier im Vordergrund. Deswegen hat mehr als die Hälfte der befragten Unternehmen den Zugang zu Social-Media-Seiten gesperrt oder stark eingeschränkt. 46 Prozent haben ihre Geschäftsrichtlinien angepasst, um diese Risiken zu minimieren und 38 Prozent überwachen verstärkt die Internetnutzung in ihrem Unternehmen.

Trotz des erhöhten Sicherheitsrisikos ist das Thema Datensicherheit noch immer nicht in den Führungsspitzen der Unternehmen angekommen: In nur zwölf Prozent der Firmen steht Datensicherheit regelmäßig auf der Tagesordnung der Aufsichtsratssitzungen. Auch die Priorität des Themas in anderen Unternehmensbereichen ist derzeit noch gering. Insgesamt ist nur knapp die Hälfte der Befragten der Ansicht, dass ihre Informationssicherheit den tatsächlichen Bedürfnissen des Unternehmens entspricht.