©ejn
Wien. Die letzten Monate waren von erfolgreichen Hacker-Angriffe auf prominente Unternehmen und Institutionen geprägt: fast wöchentlich kursieren neue Fälle in den Medien. Das wirft die Frage auf, ob Unternehmen und Behörden weltweit Zeit verschlampt haben ihre IT-Sicherheit aktuell zu halten.
„Massive Lücken auf Grund von Budgetstreichungen“ ortet das Beratungsunternehmen PwC.
Laut ist der aktuellen Studie „Global State of Information Security Survey 2012“ von Wirtschaftsprüfer PwC, CIO Magazine und CSO Magazine fühlen sich die meisten für die IT verantwortlichen Manager mit ihren Sicherheitssystemen sicher. Aber „der Schein trügt“, warnt PwC.
Manager weltweit vertrauen auf die Sicherheit ihrer IT-Systeme. Dabei seien seit Jahren nicht die nötigen Investitionen in Sicherheitsmaßnahmen erfolgt, so die aktuelle Studie von PwC. Im Rahmen der Erhebung wurden rund 9.600 Vorstände und Direktoren für IT- und Informationssicherheit aus 138 Ländern befragt.
Die jüngste Attacken von Hackern in Deutschland und Österreich machen die „massiven Lücken“ deutlich, die die IT-Security in Unternehmen und Behörden habe. Dabei würden die Risiken durch immer „aggressivere und länger andauernde“ System-Angriffe steigen, heißt es.
PwC kritisiert, dass Budgets für IT-Sicherheit unter dem Vorwand wirtschaftlicher Volatilität jahrelang sukzessive gekürzt wurden. Nun erreiche der Abbau ein unternehmenskritisches Ausmaß und betreffe bereits Kern-Sicherheitsfunktionen, so PwC.
Nichts desto trotz sollen sich 72% der für die IT-Sicherheit verantwortlichen Top-Manager mit den bestehenden Prozessen sicher fühlen, so die PwC-Umfrage bei den Managern. Die jüngsten, massiven Angriffe auf die IT-Systeme von Institutionen und Unternehmen – sowohl in Österreich, als auch weltweit – sollen aber zeigen, dass der „Schein trügt und die Situation prekär ist“, heißt es in einer Aussendung.
„Die jüngste PwC Studie macht den Widerspruch deutlich, der beim Management vorherrscht: Obwohl seit Jahren nicht in IT investiert wurde, fühlen sich IT-Verantwortliche zu sicher. Jüngste Hacker-Attacken beweisen das Gegenteil“, erklärt Andreas Plamberger, IT-Experte bei PwC Österreich. „Auch Unternehmen müssen auf eine Vielzahl von Attacken vorbereitet sein. Angefangen von andauernden Bedrohungen für ein IT-System bis hin zu plötzlich auftretenden massiven Leaks, welche den Zugriff auf streng vertrauliche Daten zulassen.“
Keine Prävention vor permanenter Cyber-Bedrohung
„Eine der gefährlichsten Bedrohungen aus dem Cyberspace sind sogenannte Advanced Persistent Threats (ATP)“, sagt Markus Ramoser, IT-Experte im Bereich Wirtschaftsprüfung. „So bezeichnet man ein langfristiges Muster von ausgeklügelten Hacker-Angriffen. Die anspruchsvollste Form von Cyber-Bedrohungen ist demnach nicht mehr ein seltenes Ereignis, sondern ein andauerndes Gefahrenpotenzial. Zunehmend sind diese auch ein dringendes Problem für den privaten Sektor und nur wenige Unternehmen haben die Möglichkeiten, sich dagegen zu schützen.“
Lediglich 16% der Manager gaben an, gegen ATPs vorbereitet zu sein. Mehr als die Hälfte der Organisationen hingegen würden nicht über Kernkompetenzen zur Abwehr dieser „strategischen Bedrohung“ verfügen, so Ramoser.
Zu diesen zählen: Penetrationstests, Identity-Management-Technologie oder ein zentraler Security Information Management-Prozess.
Obwohl die Risiken gestiegen sind und Präventionsmaßnahmen sich laut PwC als nicht mehr effizient erweisen, erwarten lediglich 51% (2010: 52%) der befragten Manager eine Erhöhung der Ausgaben für die IT-Sicherheit.
Gefahrenquellen: Externe Partner und Kunden
Das Verwalten der Sicherheit mit externen Dienstleistern sei „seit jeher“ ein Problem – und werde immer riskanter, ortet die Studie. Die Zusammenarbeit mit Partnern, Lieferanten und angebundenen Anbietern würde nicht zu unterschätzende Risiken bergen.
Ebenso seien bestehende wie ehemalige Mitarbeiter die am häufigsten vermutete Quelle für Verstöße. Doch seit einige Firmen auch Kunden in ihre Netzwerke einladen, zählen diese zu den unbekannten Gefahrenquellen.
Waren Kunden bisher nicht verdächtig, ändert sich diese Haltung nun sehr rasch: Bereits 17% der Manager sehen in den Kunden als Netzwerkteilnehmer ein potentielles Risiko.
Sinkendes Vertrauen in Cyber-Sicherheit
Das weltweite Vertrauen in Sicherheitsmaßnahmen von 72% der befragten Manager mag auf den ersten Blick hoch erscheinen, sei aber seit 2006 deutlich zurückgegangen, heißt es.
Mittlerweile setzen vier von zehn Unternehmen auf Cloud-Computing-Dienste – die meisten davon beanspruchen Software oder Infrastruktur als Service (SaaS bzw. IaaS). Die Mehrheit der Nutzer sieht in der Verwendung von Cloud-Computing eine Steigerung der Sicherheit. Verbesserungsbedarf bestehe jedoch in der Durchsetzung besserer Sicherheitsrichtlinien für Anbieter.
Link: PwC
