silicon.de-Studie IT-Sicherheit: Ringen mit dem steigenden Aufwand

Einer zentralen Verwaltung entziehen sich größtenteils auch PDAs und Smartphones. Das sollte sich aber in der Zukunft besser ändern, denn die Fähigkeiten dieser Geräte haben in der Zwischenzeit ein Niveau erreicht, bei dem sie verwaltungstechnisch als vollwertige PCs gesehen werden müssen. Sie können Mail-Anhänge oder Dateien transportieren, die beim Abgleich mit dem PC Schädlinge einschleppen und ein Firmennetzwerk lahm legen können.

Interessanterweise werden diese Gefahren aber nicht von allen Befragten als solche erkannt. Eine Aufschlüsselung der Antworten nach der Größe der Unternehmen, in welchen die Befragten tätig sind, ergab sehr unterschiedliche Sichtweisen. Während beispielsweise für zwei Drittel der Zugehörigen von Großunternehmen (mehr als 500 Mitarbeiter) USB-Komponenten als Gefahr gesehen werden, teilen nur 41 Prozent der Befragten von Kleinunternehmen (bis 49 Angestellte) diese Ansicht.

Besonders gefährdet: Kleinunternehmen und Mittelstand

Ähnlich verhält es sich mit PDAs und Smartpones: Bei Großunternehmen sehen das Gefahrenpotenzial 60 Prozent, beim Mittelstand (50 bis 499 Angestellte) 42 Prozent, bei Kleinunternehmen nur 24 Prozent. Auch bei Bluetooth scheiden sich die Geister, obwohl diese Übertragungstechnik ein hohes Missbrauchspotenzial für mobile Geräte darstellt.

Die unterschiedliche Wahrnehmung potenzieller Gefahrenquellen kann fatal sein, denn laut Umfrage sind alle Unternehmen, egal welcher Größe, den Gefahren für ihre IT-Sicherheit in fast gleichem Maße ausgesetzt. Hinzu kommt, dass erfahrungsgemäß die PCs in kleinen und mittelständischen Unternehmen weniger restriktiv verwaltet werden und dass deren Nutzer freizügiger mit ihrem Arbeitsgerät umgehen dürfen – was das Potenzial für gewollten und ungewollten Missbrauch deutlich erhöht.

Gleichwohl hat der Mittelstand im vergangenen Jahr ausgiebig in seine Security-Infrastruktur investiert. Alle relevanten Produktsparten haben ordentliche Wachstumsraten im Vergleich zum Vorjahr vorzuweisen, allen voran Spam- und Content-Filter, Instrusion-Detection-Systeme, sowie Authentifizierungs-Tools wie Secure-ID oder PKI.

Das belegen auch die anhaltenden Erhöhungen der Security-Budgets. Rund 40 Prozent aller Befragten aus allen Unternehmensgrößen gaben an, in diesem Jahr ihre Ausgaben für Sicherheit zu erhöhen, für weitere etwa 40 Prozent bleibt das Budget zumindest auf dem Niveau des Vorjahres.

Zugleich zeichnet sich ab, dass Sicherheit das IT-Budget des Mittelstands über die Maßen belastet. Verglichen mit Großunternehmen und mit Kleinbetrieben ist der Anteil an Mittelständlern, bei welchen das Security-Budget 10 bis 15 Prozent oder gar 15 bis 20 Prozent des gesamten IT-Budgets einnimmt, überproportional hoch. Diese Verschiebung ist eindeutig im laufenden Budget-Jahr erfolgt, wie ein Vergleich mit der Budget-Struktur vom Vorjahr belegt.

Schwächen im Ansatz

Geld und Ausstattung lösen allerdings das Problem des Mittelstands mit der IT-Sicherheit nur zum Teil. Fehlende Ressourcen und das dadurch bedingte fehlende Know-how über die richtigen Ansätze und Methoden, um mit dem Thema fertig zu werden, stellen eine größere Gefahr dar.

Das Fehlen einer schriftlich festgehaltenen Richtlinie macht den Verantwortlichen das Leben schwer, sowohl in der Handhabung des Themas innerhalb der IT-Abteilung als auch in der Kommunikation mit den Mitarbeitern. Zumindest gibt die Steigerung in der Anzahl mittelständischer Unternehmen, die eine solche Richtlinie haben, Anlass zur Zuversicht. Im letzten Jahr waren es nur 30 Prozent der befragten Mittelständler, dieses Jahr sind es 39 Prozent.

Das eigentliche Ressourcenproblem liegt aber darin, dass sich die tägliche Arbeit des IT-Personals in Zusammenhang mit Sicherheit in den letzten fünf Jahren vervielfacht hat. Allein der Aufwand, auf Servern und Clients Patches aufzuspielen ist immens geworden, selbst wenn Firmen wie Microsoft dazu übergegangen sind, diese Patches im Bündel einmal pro Monat herauszugeben.

Noch dazu sorgen immer neue Gefahren dafür, dass allein die Auseinandersetzung mit dem Thema zeitraubend und der Aufbau von speziellem Know-how nötig ist. Da aber das IT-Personal in mittelständischen und kleinen Unternehmen in der Regel produktive und nicht präventive Aufgaben hat, ergibt sich daraus ein Ressourcenengpass, der auf Dauer gefährlich werden kann.