Deutsche Unternehmen: Versagen der IT-Sicherheit größtes Geschäftsrisiko

Mobiles Arbeiten, Soziale Medien, mehr Applikationen und die Vermischung privater und geschäftlicher Daten auf einem Gerät schaffen laut Symantec-Umfrage neue Angriffsflächen

[datensicherheit.de, 04.09.2011] IT-Sicherheit stehe oben auf der Agenda Deutscher Firmen. Weder Terrorismus, Naturkatastrophen noch konventionelle Straftaten bereiteten ihnen so viel Unbehagen wie Angriffe auf die eigene IT – dies sei das Ergebnis der zum zweiten Mal durchgeführten Symantec-Studie „2011 State of Security Survey“:
Mehr als zwei Dritter der 100 befragten deutschen Unternehmen seien in den vergangenen zwölf Monaten Opfer einer Cyberattacke geworden; weltweit 71 Prozent von 3.300 befragten Unternehmen.

Abbildung: Symantec (Deutschland) GmbH, München

Is IT Under Attack?

Zu den gängigsten Angriffsarten zählten bösartige Schadprogramme, Datendiebstahl durch „Social Engineering“ und externe Attacken. 21 Prozent der befragten Firmen in Deutschland seien solchen Übergriffen sogar in regelmäßigen Abständen ausgesetzt. Den höchsten Anteil bei der Angriffsmethode bildeten dabei Schadprogramme (25 Prozent). Zu den häufigsten Konsequenzen zählten Ausfälle der IT, der Diebstahl der digitalen Identität von Mitarbeitern sowie von geistigem Eigentum. Mit 99 Prozent seien nahezu allen deutschen Unternehmen in der Vergangenheit finanzielle Schäden durch solche Cyber-Attacken entstanden, vor allem in den Bereichen Produktivität und Umsatz sowie durch den Verlust von Unternehmens-, Kunden- oder Mitarbeiterdaten. Bei rund 20 Prozent der Befragten sei in den vergangenen zwölf Monaten ein Schaden von mindestens 69.580 Euro entstanden.
Aus globaler Sicht habe sich die Bedrohungslage leicht entschärft, auch wenn der prozentuale Anteil erfolgreich attackierter Firmen weitaus höher liege als in Deutschland. Insgesamt seien in den vergangenen zwölf Monaten 71 Prozent der insgesamt 3.300 global befragten Unternehmen Opfer von Cyber-Angriffen geworden. Im Vorjahr habe dieser Anteil noch 75 Prozent betragen. Auch global sei der Anteil von Unternehmen, die immer häufiger von Angriffen berichteten, von 29 Prozent im Jahr 2010 auf 21 Prozent im Jahr 2011 gefallen.
Durch die vermehrte Nutzung mobiler Geräte – geschäftlich wie privat – und die Verbreitung von „Social Media“ am Arbeitsplatz entstünden neue Angriffsflächen. Für 46 Prozent der befragten deutschen Unternehmen stelle diese „Konsumerisierung der IT“ die größte Herausforderung bei IT-Sicherheit dar (weltweit 45 Prozent), gefolgt von mobilen Geräten mit 42 Prozent und der Veränderungen in der Bedrohungslandschaft mit 41 Prozent (weltweit 47 Prozent und 43 Prozent). „Social Media“ stuften 37 Prozent als Herausforderung ein, weltweit liege der Anteil sogar bei 46 Prozent.
Das Thema Sicherheit von Informationen und Prozessen werde in Unternehmen daher immer präsenter. So hätten in Deutschland 30 Prozent angegeben, dass Sicherheit im Vergleich zum Vorjahr an Relevanz zugelegt habe (EMEA: 39 Prozent). Nur 14 Prozent seien der Meinung, dass das Thema zumindest ein wenig beziehungsweise deutlich an Bedeutung verloren habe, verglichen mit den Ergebnissen aus dem letzten Jahr (EMEA: 12 Prozent). Die größten Sorgen machten den Befragten in Deutschland Hackerangriffe, IT-Vorfälle, die ungewollt durch Mitarbeiter ausgelöst werden, sowie politisch oder wirtschaftlich motivierte, gezielte Attacken wie Stuxnet (jeweils 37 Prozent).
Nach Einschätzung der Umfrageteilnehmer gelinge es 45 Prozent (EMEA: 54 Prozent) gut oder sehr gut, die klassischen Sicherheitsmaßnahmen zu implementieren. Gut oder sehr gut reagierten 53 Prozent (EMEA: 55 Prozent) auf Attacken oder Verletzungen der Sicherheitsbestimmungen. Weniger gut sehe es hingegen in den Bereichen Compliance, strategische Initiativen und innovative Maßnahmen zum Schutz der IT aus.
Als Reaktion auf die wachsende Bedrohung zeige sich deutlich, dass Unternehmen daran arbeiteten, ihren Sicherheitslevel zu erhöhen. Einerseits stellten sie vermehrt Personal ein, um vor allem Verbesserungen in den Bereichen Nachrichtensicherheit (44 Prozent), Management der Sicherheitssysteme (40 Prozent), Internetsicherheit (39 Prozent) sowie Mitarbeitertraining (38 Prozent) zu erreichen. Andererseits erhielten die IT-Abteilungen auch mehr Budget, welches ebenfalls in den Bereichen Internetsicherheit (38 Prozent), Personalschulungen (36 Prozent) und Verwaltung der Sicherheitssysteme (36 Prozent) eingesetzt werde.