Neue Bedrohungen für die IT-Security

CloudKarriereServerSicherheitSicherheitsmanagementSoftware

IT-Sicherheit steht nach wie vor ganz oben auf der Agenda der Unternehmen. Die Bedrohungslage wird jedoch immer komplexer, auch durch Konzepte wie Cloud und Virtualisierung, zeigt eine neue Studie der IDC.

Die Berater von IDC haben in ihrer aktuellen Studie „IT Security in Deutschland 2010“ 200 deutsche Unternehmen mit mehr als 100 Mitarbeitern befragt, um ihre aktuelle Situation und die Pläne in der IT-Sicherheit zu beleuchten. Immer wichtiger werden dabei Themen wie Mobility, Cloud Computing, Virtualisierung, Compliance und Social Networking, die die Bedrohungen komplexer werden lässt. Für die IT-Verantwortlichen ist der wichtigste Antriebsfaktor die Vermeidung von Datendiebstahl. Außerdem wichtig: das Verhindern von finanziellem Schaden, die Aufrechterhaltung des Geschäftsablaufs und die Umsetzung gesetzlicher Vorgaben.

71 Prozent der Unternehmen hatte schon einmal Angriffe auf die eigenen IT-Systeme erlebt. Als Folge erlitten 48 Prozent Produktivitätsverluste durch Arbeitsausfallzeiten, für 39 Prozent hatten die Angriffe personelle Konsequenzen, für 23 Prozent rechtliche Konsequenzen. 22 Prozent sprachen auch von einem Imageschaden für ihr Unternehmen.

Angriffe auf die IT führen zu finanziellen Schäden. (Bild: IDC)

IT-Security fängt beim Mitarbeiter an
Vor »traditionellen« Bedrohungen wie Viren, Spam und Trojaner haben die IT-Verantwortlichen immer noch den größten Respekt, wenngleich auch unauffälligere Szenarien wie vorsätzliches Fehlverhalten externer oder eigener Mitarbeiter immer bedeutsamer werden. Die Analysten von IDC sehen den Grund darin, dass IT Security in vielen Unternehmen noch nicht hinreichend ernst genommen wird. Zudem gelänge es der IT nur schwer, den Entscheidern die Risiken und damit verbundenen Konsequenzen deutlich zu machen. Immerhin knapp drei Viertel der befragten Unternehmen verfügen bereits über ein ganzheitliches Sicherheitskonzept. Schwierigkeiten tauchen aber bei der Implementierung und Umsetzung solcher Konzepte auf.

Bei den Bedrohungen steht der Anwender zunehmend im Mittelpunkt. (Bild: IDC)

Mobile Anwendungen im Fadenkreuz
Für IT-Verantwortliche wird Mobile Security zukünftig deutlich wichtiger. Dies hängt auch mit dem starken Wachstums der Mobile Workforce und Entwicklungen wie Unified Communications und Mobility zusammen. Laut IDC liegt in Westeuropa der Anteil der Mobile Workforce an der gesamten arbeitenden Bevölkerung schon bei knapp 50 Prozent, der bis 2013 auf gut 60 Prozent ansteigen soll.

Ebenfalls unterschätzt wird von vielen Unternehmen das Thema sicheres Drucken. Rund ein Drittel der Unternehmen will geeignete Maßnahmen treffen, unter anderem durch Managed Print Services, wie sie beispielsweise HP anbietet. Ein Drittel der Befragten glaubt aber auch, dass die Druckumgebungen sicher genug sind. In diesem Umfeld besteht laut IDC noch großes Potenzial, Anwender aufzuklären und Lösungen sowie Beratung
anzubieten.

Mangelndes Mitarbeiterbewusstsein hemmt IT-Security. (Bild: IDC)

Cloud Computing und die Sicherheit
Beim Thema Cloud und Virtualisierung denken viele Unternehmen auch an Sicherheit, wie schon frühere Umfragen belegen. Die Analysten von IDC gehen davon aus, dass die bekannten Security-Anbieter bald auch Cloud-basierte Lösungen als Alternative zu Appliances und Programmen anbieten werden. So werde sich Software-as-a-Service (SaaS) im Security-Umfeld von den bisher wichtigen Segmenten wie Messaging und Web zu Identity- und Schwachstellen-Management bewegen.

Mehr als zwei Drittel der befragten Unternehmen rechnen in den nächsten Jahren mit steigenden Ausgaben für IT-Security. Dies werde die Unternehmen zunehmend zwingen, ihre IT Security-Strategie von einem reaktiven zu einem proaktiven Handeln zu verändern, so IDC. Anbieter von IT Security-Lösungen werden sich daher künftig über hohe Wachstumsraten freuen dürfen. Übrigens: Anwender wie Anbieter können sich am 2. September 2010 auf der IT Security-Konferenz von IDC informieren.
(sg)

Weblink
IDC Consulting
HP

Interview mit Lynn-Kristin Thorenz, Director Research und Consulting bei IDC Central Europe

»Insgesamt ist die Unternehmens-IT schon jetzt keine Burg mit fixen Ein- und
Ausgängen mehr, die es zu verteidigen gilt, sondern ein loses Gebilde in dem die
Grenzen zunehmend verschwimmen, wie zum Beispiel durch mobile Endgeräte oder Web 2.0 Technologien«, so Lynn-Kristin Thorenz, Director Research und Consulting bei IDC Central Europe. (Bild: IDC)

eWeek: Wie erklären Sie es, dass Unternehmen immer noch „klassischen“ Bedrohungen wie Malware oder Hacker wichtiger einschätzen als Fehlverhalten eigener oder externer Mitarbeiter?
Die externen Bedrohungen stehen oben auf der Agenda, weil sie offensichtlicher sind, immer weiter zunehmen und komplexer werden. Hinter diesen Attacken stecken finanzielle Interessen von Cyberkriminellen, die durch immer ausgefeilte Methoden Unternehmensnetzwerke außer Gefecht zu setzen versuchen.
Die Frage ist weniger, ob ein Unternehmen mit Malware infiziert ist, sondern vielmehr, wie stark es infiziert ist. Der finanzielle Schaden ist meist offensichtlich und präsent. Über interne Sicherheitspannen wird grundsätzlich ungern öffentlich kommuniziert. Fragt man die Anwender aber nach der Priorität Ihrer IT Security Ziele, dann wird »Vermeidung von unberechtigtem Zugriff« am wichtigsten bewertet.

Welche Ansätze in der IT-Security sehen Sie in Zukunft als geeignet, den neuen Bedrohungen wirksam zu begegnen? Und worin liegen die Erfolgsfaktoren einer IT-Security-Strategie?
Endpoint-Security-Lösungen sollten grundsätzlich in ein ganzheitliches IT Security Konzept eingebunden werden, in dem auch die Mitarbeiter entsprechend eingebunden sind. Auch die Integration mobiler Endgeräte in die IT Security sollte dabei nicht vernachlässigt werden. Insbesondere hinsichtlich des Schutzes der Information und der zunehmenden Integration von Cloud Services kann Identity and Access Management eine besondere Rolle spielen. IDC sieht aber auch einen Trend in Richtung »Managed Security Services«.

Warum reicht es heute nicht mehr, das Unternehmen wie eine Festung vor äußeren Angriffen zu schützen? Wie hat sich die Bedrohungslage für Unternehmen gewandelt?
Das Thema IT Security wird immer komplexer und aufwendiger. Die Unternehmens-IT ist heute keine Burg mit festen Ein- und Ausgängen mehr, die es zu verteidigen gilt, sondern ein loses Gebilde in dem die Grenzen zunehmend verschwimmen wie zum Beispiel durch mobile Endgeräte oder Web-2.0-Technologien.
Cloud Services werden diesen Trend noch verschärfen. Vor allem Web 2.0 stellt eine enorme Herausforderung in Bezug auf Data Loss Preventition (DLP) dar. Message Boards, Blogs, Tweets und viele andere Arten von Social Networking bergen Risiken für Informationsverlust und Compliance-Verletzungen.