Deloitte führte zum zweiten Mal eine eingehende Umfrage zur Sicherheitspraxis in mehr als hundert TMT-Organisationen weltweit durch. Unter den Befragten befanden sich Unternehmen aus allen drei Bereichen, davon fast die Hälfte mit einer Unternehmensgröße von 5.000 bis 50.000 Mitarbeitern und einem Ertrag zwischen einer und zehn Mrd US-Dollar.

Der 2007 TMT Global Security Survey zeigt, dass die Mehrzahl der Unternehmen aus dem TMT-Bereich bei den Themen Sicherheit und Datenschutz nicht voran schreitet. Trotz gesteigerter Investitionen in die Sicherheit halten die meisten mit den wachsenden Bedrohungen "bloß" Schritt. Um aber Probleme vorhersehen und ihnen wirksam begegnen zu können, müssen Unternehmen ihre Bemühungen und Investitionen erhöhen.

Die Studie zeigt deutlich, dass TMT-Unternehmen nicht ausreichend für etwaige Sicherheitskrisen gewappnet sind. 69 Prozent der Befragten geben an, dass sie von ihrer Leistungsfähigkeit in Bezug auf Sicherheitsherausforderungen von außen "sehr überzeugt" bzw. "außerordentlich überzeugt" sind. Allerdings zeigen nur 59 Prozent dieses Vertrauen, wenn es um interne Bedrohungen geht.

Ein wichtiger Aspekt der leider immer noch zu wenig beachtet wird, ist die mangelnde Sensibilisierung der eigenen Mitarbeiter auf den Umgang mit Daten und Informationen. Diese Tendenz bestätigt Georg Krause, Deloitte Managing Partner der Technology, Media & Telecommunications Branchengruppe: "Die gefährlichsten Bedrohungen kommen aus dem internen Bereich. Das ist eine Gefahr, die die meisten Unternehmen kontrollieren könnten."

FALSCHE SICHERHEIT?
Die Studie macht deutlich, dass TMT-Unternehmen zwar zusätzlich zu materiellen Gütern auch Information als Vermögenswert betrachten, jedoch weiterhin als getrennte Bereiche behandeln. TMT-Unternehmen wiegen sich möglicherweise in falscher Sicherheit - insbesondere bei den Themen Lizenzverwaltung, Gefahren durch mobile Arbeitnehmer sowie der Unterscheidung von materieller Sicherheit und Informationssicherheit.

Martin Novak, Deloitte Manager Security & Privacy Services und Leiter der Studie in Österreich erklärt die Situation eingehender: "Die zentralen Assets eines Unternehmens sind einerseits das im Unternehmen verfügbare Wissen, das in Form von gespeicherten Daten und Informationen oder als Know-how der Mitarbeiter vorhanden ist und andererseits die vorhandene IT-Infrastruktur, um die Daten zu verarbeiten. Die Angriffsszenarien gehen dabei schon längst über die klassischen Eindringversuche von Außen durch Schwachstellen in der Netzwerkinfrastruktur hinaus. Heute stellen Angriffe über schlecht konzipierte Applikationen eigentlich den Normalfall dar."

TMT-Unternehmen sind gefordert, die vielfältigen Risiken von Sicherheitsbrüchen - wie z.B. Identitätsdiebstahl, Datenverlust, Kontenmissbrauch und Phishing - zu vermeiden. In Hinblick darauf untersucht die Studie eingehend, wie viele Unternehmen Organisationsrichtlinien dafür implementiert haben. Die meisten Teilnehmer (82 Prozent) haben bereits Richtlinien in Kraft gesetzt und weitere dre Prozent planen, dies innerhalb der nächsten zwei Jahre zu tun. Nur sechs Prozent der Unternehmen implementieren keine Richtlinien und beabsichtigen auch nicht deren Einführung.

Novak verdeutlicht die Wichtigkeit, entsprechende Maßnahmen zu ergreifen: "In der Technologiebranche bedeutet der Informationsvorsprung alles. Bestehen hier Sicherheitslücken beim Schutz der eigenen Entwicklungen, kann das für ein Unternehmen fatal enden."

Es gibt mehrere Faktoren, warum sich Unternehmen gegen Organisationsrichtlinien im Bereich Informationssicherheit entscheiden. Einer davon ist, dass "Chief Information Security Officers" (CISO) immer noch nicht Standard in TMT-Unternehmen sind und in diesem Bereich auch ein Mangel an Fachkräften besteht. Die Anzahl der CISO in den Unternehmen ist zwar im letzten Jahr von 57 Prozent auf 65 Prozent angestiegen, der Bericht zeigt aber, dass nur 13 Prozent der CISO seit über zehn Jahren in dieser Funktion tätig sind - im Gegensatz zu 39 Prozent mit drei bis fünf Jahren Erfahrung. "Motivierte und in Sicherheitsfragen geschulte Mitarbeiter sind das größte Sicherheitskapital eines Unternehmens", ergänzt Martin Novak.

Eine weitere Voraussetzung für effektive Informationssicherheit ist die Einführung einer Sicherheitsstrategie, die sich an der Unternehmensstrategie und den Unternehmensbedürfnissen orientiert. 54 Prozent der befragten Unternehmen haben bereits eine formale Strategie zur Informationssicherheit, so die Deloitte-Studie. Weitere 20 Prozent beabsichtigen die Implementierung innerhalb der kommenden zwei Jahre. Darüber hinaus betrachten 17 Prozent der Unternehmen eine fehlende Strategie in diesem Bereich als eines der größten Hindernisse, um Informationssicherheit zu erreichen.

Martin Novak fasst zusammen: "Fazit ist, dass es eine Menge zu tun gibt. Verstärkte Bemühungen werden entscheidend sein, wenn die nächste Sicherheitsbedrohung auf uns zukommt."

Quelle: Computerwelt.at http://www.computerwelt.at/detailArticle.asp?a=113764&n=4

zurück