Vielen Unternehmen gelingt es nicht mehr, ihre Informationen wirkungsvoll vor Angriffen zu schützen. Die Lücke zwischen dem tatsächlichem und notwendigem Standard der Informationssicherheit wird laut einer Ernst & Young-Studie immer größer. [...]
Während im vergangenen Jahr 30 Prozent der Firmen ihr Budget für Datensicherheit um mehr als ein Viertel erhöht haben, stieg bei 77 Prozent der Unternehmen die Anzahl externer Angriffe. 2009 waren noch lediglich 41 Prozent der Firmen das Ziel externer Angriffe. Das ergab die Studie „Global Information Security Survey 2012: Fighting to close the Gap“ des Prüfungs- und Beratungsunternehmens Ernst & Young. Für die Umfrage wurden 1.836 CIO, CISO, CFO und CEO aus 64 Ländern verschiedener Branchen befragt.
In den vergangenen drei Jahren ist rund die Hälfte der Unternehmen anfälliger für interne Datensicherheitsprobleme geworden. Aktuell verzeichnen zwei Drittel der Firmen ein gestiegenes Risiko durch interne Schwachstellen. „Die Angriffe auf die Informationssicherheit der Unternehmen sind in den vergangenen Jahren deutlich häufiger und differenzierter geworden. Die Schnelligkeit und Komplexität des heutigen wirtschaftlichen und technologischen Wandels bewirken, dass die meisten Unternehmen in der Informationssicherung zurückfallen. Zwar haben die Unternehmen weltweit ihre Informationssicherheit deutlich verbessert, um sich dem veränderten Risiko stellen zu können, aber ihre Bemühungen reichen nicht aus.“, sagt Gunther Reimoser, Partner bei Ernst & Young.
Zu den Risikofaktoren, die für die Unternehmen mittlerweile die größte Bedrohung darstellen, zählen an erster Stelle mit 67 Prozent Cyberattacken auf intellektuelles Kapital oder Daten. Die Hälfte der Unternehmen sieht unwissende oder unachtsame Mitarbeiter sowie Betrug als erhebliches Risiko, 40 Prozent schätzen unautorisierten Datenzugang als große Gefahr ein.
Netzwerke, erhöhte Transparenz, verschwommene Grenzen zwischen persönlicher und beruflicher Nutzung und die rasante Entwicklung der technischen Medien machen es für die Unternehmen immer schwieriger, ihre Daten wirkungsvoll zu schützen. Technische und kommunikative Innovationen wie mobile Endgeräte, Cloud-Computing oder Social Media stellen stetig neue Herausforderungen an die Informationssicherheit der Firmen: Während 2010 lediglich 30 Prozent der Unternehmen Cloud-Computing-Services in Anspruch genommen haben, sind es in diesem Jahr bereits 59 Prozent, die Clouds nutzen oder deren Einsatz planen – Tendenz weiter schnell steigend. Social Media sind mittlerweile in vielen Unternehmen ein fester Bestandteil der Kommunikation, allerdings fehlt 38 Prozent der für die Ernst & Young-Studie befragten Firmen ein koordinierter Ansatz, um soziale Onlinemedien effektiv zu nutzen.
„Neben den technischen Entwicklungen verändert sich auch das wirtschaftliche Umfeld für die Unternehmen. Mitarbeiter global agierender Firmen erzeugen, transferieren und nutzen Daten weltweit, weshalb deren Schutz immer schwieriger zu organisieren ist. Aufstrebende Märkte, Produktionsverlagerungen ins Ausland und die Finanzkrise haben ein stärker konkurrenzgeprägtes Umfeld geschaffen, in dem Informationssicherheit von besonders großer Bedeutung ist, um wettbewerbsfähig zu bleiben“, so Reimoser.
Seit 2006 hat sich der Stellenwert von Informationssicherheit in vielen Unternehmen erheblich erhöht; inzwischen halten die meisten Firmen eine integrierte Unternehmensstrategie für unerlässlich, um den Risiken für die Informationssicherheit ganzheitlich begegnen zu können: Aktuell integrieren bereits 42 Prozent der Teilnehmer der Studie Datensicherheit in ihre Unternehmensstrategie. Zudem nehmen die Unternehmen regulatorische Richtlinien ernster als noch vor wenigen Jahren: Gegenwärtig sind 80 Prozent der Befragten davon überzeugt, dass es sich in hohem Maße positiv auf ihre Informationssicherheit auswirkt, wenn sie gesetzliche Regelungen einhalten.
„Die wohl bedeutendste Entwicklung seit 2006 ist der Wandel in der Wahrnehmung von Informationssicherheit. Wurde es vor einigen Jahren noch als reine IT-Aufgabe gesehen, verstehen die Unternehmen heute, dass die Sicherung ihrer Daten und Informationen eine strategische Notwendigkeit ist“, sagt Reimoser. In einigen besonders kritischen Bereichen der Informationssicherheit schaffen es die Unternehmen nicht mehr, mit den immer neuen Herausforderungen Schritt zu halten; die Standards haben sich in vergangenen Jahren hier kaum gebessert: 63 Prozent der Firmen haben kein formales Sicherheitskonzept und planen auch zukünftig nicht, ein solches Konzept zu verankern.
„Die wohl bedeutendste Entwicklung seit 2006 ist der Wandel in der Wahrnehmung von Informationssicherheit. Wurde es vor einigen Jahren noch als reine IT-Aufgabe gesehen, verstehen die Unternehmen heute, dass die Sicherung ihrer Daten und Informationen eine strategische Notwendigkeit ist“, sagt Reimoser. In einigen besonders kritischen Bereichen der Informationssicherheit schaffen es die Unternehmen nicht mehr, mit den immer neuen Herausforderungen Schritt zu halten; die Standards haben sich in vergangenen Jahren hier kaum gebessert: 63 Prozent der Firmen haben kein formales Sicherheitskonzept und planen auch zukünftig nicht, ein solches Konzept zu verankern.
Nur knapp 40 Prozent der Unternehmen orientieren sich an der eigenen Risikoerwartung, wenn sie ihre Strategie zur Informationssicherheit entwerfen, und in lediglich knapp der Hälfte der Firmen ist Datensicherheit regelmäßig Thema in den Meetings der Führungsebene. Auch bei der Schulung ihrer Mitarbeiter haben viele Unternehmen noch erheblichen Nachholbedarf: In 43 Prozent der Firmen erschwert der Mangel an geschulten Mitarbeitern ein effektives Informationssicherheitsmanagement.
„Um ihre Informationssicherheit effektiv umzugestalten und an die heutigen Herausforderungen anzupassen, benötigen die Unternehmen keine komplexen technologischen Lösungen. Firmen können schon mit vier wirkungsvollen Schritten ihre Datensicherheit optimieren und so Wettbewerbsvorteile erlangen: Erstens die Sicherheits- in die Unternehmensstrategie integrieren, zweitens einen fundamentalen Neustart bezüglich der Entwicklung einer Strategie wagen und nicht nur auf bisherigen Lösungen aufbauen, drittens die gesamte Organisation in das Management der Informationssicherheit einbeziehen und viertens die Chancen und Risiken neuer Technologien intensiv prüfen, um den maximalen Nutzen daraus zu ziehen“, erläutert Reimoser.
Be the first to comment