André Lutermann Dell IT-Sicherheit CISO

André Lutermann, Dell: "Der Sinn jeglicher Sicherheitsmaßnahmen ist die Vorbeugung. Unternehmen, die erst Vorfälle abwarten, um dann zu handeln, spielen mit dem Feuer." Bild: Dell

Die IT-Sicherheit vieler Unternehmen ist oft unzureichend, so das Ergebnis einer Studie von Dell. Es fehlen zentrale IT-Sicherheitsabteilungen, IT-Bereiche stimmen sich nicht ab und Systeme sind veraltet. Der Kampf gegen moderne Sicherheitsbedrohungen ist auf dieser Basis so gut wie aussichtslos. Angesichts immer aggressiverer und raffinierterer Sicherheitsattacken befindet sich die IT-Sicherheit zahlreicher Unternehmen im Hintertreffen: vor allem fehlt bei vielen ein integrierter Ansatz. IT-Sicherheit wird meist disruptiv organisiert, ist also applikationsgebunden oder fällt in die Verantwortung einzelner IT-Bereiche, die sich nicht untereinander abstimmen.

So gab im Rahmen der Dell-Studie nur eine Minderheit (23 %) der 175 befragten IT-Verantwortlichen an, ihr Unternehmen verfüge über eine zentrale IT-Sicherheitsabteilung. Dabei zeichnete sich ein klarer Trend ab, wonach kleinere Firmen bis 200 Mitarbeiter nur selten über eine solche Abteilung verfügen (8 %), während Unternehmen ab 1.000 Mitarbeiter hier bei über 30 % liegen. Der Anteil steigt weiter mit der Unternehmensgröße an.

Die Position des CISO (Chief Information Security Officer) haben im Durchschnitt nur 6 % aller Unternehmen eingerichtet, so die Angaben der Befragten. Auch hier besteht eine klare Korrelation zur Mitarbeiterzahl: je größer das Unternehmen, desto häufiger existiert ein CISO. Zentrale CISO-Aufgabe ist es, ein integriertes Sicherheitsregelwerk aufzustellen, das sämtliche sicherheitsrelevanten Prozesse im Unternehmen berücksichtigt und die IT möglichst effizient vor Angriffen schützt. In aller Regel zeichnet nach Angabe der Befragten der CIO oder IT-Leiter neben seinen zahlreichen sonstigen Aufgaben für die IT-Sicherheit eines Unternehmens verantwortlich (64 %), oft sind es Applikations- oder Bereichsverantwortliche (15 %), sonstige IT-Mitarbeiter, an die die Aufgabe delegiert wurde (12 %), der CISO (6 %) oder, in seltenen Fällen, der Geschäftsführer des Unternehmens (3 %).

"Die Sicht von oben fehlt. Wir stellen immer wieder fest, dass vor allem kleinere und mittlere Unternehmen über keine übergreifende IT-Sicherheitsstrategie verfügen", sagt André Lutermann, Security-Experte bei Dell. "Es ist ein offenes Geheimnis, dass unterschiedliche IT-Bereiche, etwa Netzwerke, CRM oder ERP, ihr eigenes Sicherheits-Süppchen kochen und sich nur ungern untereinander abstimmen. Zugeben will das aber kaum jemand. Wir dürfen uns nichts vormachen: genauso, wie heute Informationssilos verbreitet sind, sind es leider auch Sicherheitssilos."

Über die Hälfte der Befragten (55 %) gab an, die IT-Sicherheit in ihrem Unternehmen sei nicht auf dem neuesten Stand. Als Hauptgrund dafür nannten sie das bisherige Ausbleiben ernsthafter Sicherheitsvorfälle (57 %). Als weitere Gründe gaben sie zu geringes IT-Sicherheitsbudget (56 %) an, das Fehlen qualifizierten Sicherheitspersonals (55 %) und die mangelnde Sensibilisierung des Top-Managements für das Thema IT-Sicherheit (37 %). Bei vielen Unternehmen besteht offensichtlich so lange kein Handlungsbedarf, ihre IT-Sicherheit auf den Prüfstand zu stellen, bis es dann zu einem ernsten Sicherheitsvorfall kommt. Das aber ist fatal, denn anders als in der physischen Welt verschwinden etwa beim Datendiebstahl keine Daten, sie werden ja lediglich – meist unbemerkt – kopiert. Einbruchsspuren in das Firmennetz sind im Alltagsbetrieb ebenso wenig offensichtlich, weil die entsprechenden umfangreichen Logs meist aus Zeitgründen kaum analysiert werden; und interne Sicherheitslücken, etwa die unerlaubte Weitergabe von Daten durch betrügerische Mitarbeiter, sind ebenfalls so gut wie nicht feststellbar.

"Der Sinn jeglicher Sicherheitsmaßnahmen ist die Vorbeugung", sagt Lutermann. "Unternehmen, die erst Vorfälle abwarten, um dann zu handeln, spielen gleich in zweierlei Hinsicht mit dem Feuer: erstens kann Sicherheit im Nachhinein den Schaden nicht verhindern, man zahlt also doppelt; und zweitens sind sie mit hoher Wahrscheinlichkeit ohnehin schon Opfer von Sicherheitsangriffen geworden, ohne es bemerkt zu haben." Die Tragweite dieses Verhaltens ist gigantisch. Viele Unternehmen müssen davon ausgehen, dass kritische Daten – etwa Kundendaten – bereits unbemerkt entwendet wurden. Und wenn Konstruktionsdaten oder Kostenvoranschläge das Ziel von Hackern waren, steht zu erwarten, dass Wettbewerber ähnliche Produkte auf den Markt bringen oder sie bei Ausschreibungen regelmäßig ausstechen.

Der beste Schutz gegen die zunehmenden Sicherheitsbedrohungen sind angemessene Budgets, die möglichst effizient eingesetzt werden, insbesondere für den Aufbau und Betrieb einer zentralen IT-Sicherheitsabteilung. Deren Aufgabe ist es nicht nur, eine integrierte Sicherheitsstrategie zu entwickeln, sondern auch dafür zu sorgen, dass die daraus entstandenen Maßnahmen und Richtlinien sinnvoll und übergreifend durchgesetzt werden. Ausreichend qualifiziertes IT-Sicherheitspersonal ist dafür essenziell.