Elf drängende Fragen zur IT-Sicherheit Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


25.06.2010 Heinrich Vaske*

Elf drängende Fragen zur IT-Sicherheit

Was ist der Status quo in Sachen IT-Sicherheit? Das Thema wird in Vorstandskreisen zunehmend ernst genommen - notgedrungen. Wertschöpfende Investitionen sind den Firmenlenkern eigentlich lieber.

So richtig Freude macht das Sicherheitsthema den meisten Unternehmen nicht. Trotzdem steigen die Budgets rasant, zumal die wachsenden Bedrohungen und regulatorischen Zwänge Handlungsbedarf erzeugen. Die Analysten von Forrester Research haben in ihrer Bestandsaufnahme für 2009 knapp 950 nordamerikanische und europäische Entscheider befragt. Die Hälfte waren Topmanager aus dem Vorstand, die andere Hälfte Entscheidungsträger aus der IT. Hier ihre Antworten auf elf Fragen zum Sicherheits-Status-quo.

Wie viel Geld geben Unternehmen für IT-Sicherheit aus? Im Jahr 2008 investierten Unternehmen weltweit 11,7 Prozent ihres gesamten Budgets für den IT-Betrieb in Sicherheitstechnik und -services. Zum Vergleich: 2007 lag der Anteil bei 7,2 Prozent. 2009, so schätzen die Analysten von Forrester, waren es sogar 12,6 Prozent.

Ist Sicherheit außerhalb der IT-Organisation ein Thema? Ja. Mehr als ein Drittel der IT-Sicherheitsentscheider in Unternehmen berichten an den Vorstand oder den CEO (Dotted Line). Ein Fünftel wendet sich an ein Executive Committee. IT-Sicherheit wird von den Vorständen, die alle Sicherheitsrisiken für das Kerngeschäft im Griff haben möchten, mit Interesse wahrgenommen. Dennoch bleiben die meisten IT-Sicherheitsverantwortlichen und -gruppen verantwortlich für die Infrastruktursicherheit, das Threat- und Vulnerability-Management, die Lauffähigkeit der Systeme und Fragen der regulatorischen Compliance.

Was sind die Aufgaben der Sicherheitsverantwortlichen? In allererster Linie der Schutz der Daten. 90 Prozent halten dies für wichtig oder sehr wichtig, während 86 Prozent die Applikations-Sicherheit und 84 Prozent Business Continuity beziehungsweise Disaster Recovery nennen. Etwas weniger häufig werden Threat-Management (81 Prozent) und Compliance (80 Prozent) angeführt.

Ist Sicherheit nur ein Lippenbekenntnis? Bis zu einem gewissen Grad ja. Wer Sicherheitsinitiativen im Unternehmen zu verantworten hat, bekommt oft nicht die Aufmerksamkeit und die Ressourcen, die eigentlich nötig wären. 70 Prozent der Befragten räumen ein, dass andere Dinge fast immer Priorität gegenüber Sicherheitsthemen haben. Die Folge sind zu viele kurzfristige, taktische Aktivitäten. Außerdem beklagen die Unternehmen einen dauernden Mangel an finanziellen Mitteln und Personal.

Ist Security ein Outsourcing-Thema? Der Zugriff entsprechender Dienstleister auf gut ausgebildetes Personal und die Kostenvorteile machen Managed Security Services zunehmend interessant. Nicht immer kommt die Auslagerung von IT-Sicherheitsthemen günstiger, aber sie verspricht zumindest größere Kostentransparenz und -kalkulierbarkeit. Viele Anwender überlassen Dienstleistern bereits das Filtern von E-Mail- und Web-Inhalten (siehe Beitrag: Das E-Mail-Chaos beginnt im Kopf). In diesem Jahr ist die externe Bewertung der IT-Systeme auf ihre Verwundbarkeit hin ebenfalls ein Thema, darüber hinaus auch das Monitoring der Log-files auf Server-Ebene. Auch das Inbetriebnehmen von Firewalls bereitet Firmen Schwierigkeiten.

Wie halten’s Unternehmen mit Business Continuity Management? Geht es um Konzepte, um dauerhaft einen geregelten Betrieb aufrechtzuerhalten, sehen die befragten IT-Entscheider das größte Problem in einem zu starken Fokus auf den Teilaspekt IT Disaster Recovery - 39 Prozent der Befragten beklagen dies. Unternehmen konzentrieren sich ihrer Ansicht nach zu sehr darauf, die IT im Notfall wiederherstellen zu können. Datenrettung und das Erneuern defekter Infrastruktur reichen aber nicht aus. Mit 37 Prozent beklagen fast ebenso viele die zu knappen Mittel, mit denen sichere IT-Abläufe garantiert werden können.

Einem Viertel ist nicht klar genug definiert, wie eng oder breit das eigene Unternehmen Business Continuity eigentlich definiert und wer zuständig ist. Die fehlende Unterstützung und Akzeptanz durch das Topmanagement wird zudem kritisiert, ebenso die Tatsache, dass es oft kein formales Programm für Business Continuity gibt. Bei 41 Prozent der befragten Firmen sind die für den IT-Betrieb und die Rechenzentren zuständigen Mannschaften auch für Business Continuity verantwortlich. In jeweils gut 20 Prozent kümmern sich das operative Risk Management oder die IT-Security-Verantwortlichen darum.

Treiben die Security-Teams die Themen Identity und Access Management? Sicherheitsbedenken haben in den letzten zwei Jahren dazu geführt, dass die Verwaltung von Benutzerdaten und Zugangsberechtigungen in den meisten Firmen groß geschrieben wird. Insgesamt 52 Prozent der befragten Unternehmen bestätigen dies. Der zweite Faktor, der Identity und Access Management treibt, sind Compliance-Richtlinien. Dies Argument wird von weiteren 22 Prozent der Befragten ins Feld geführt. Trotz großer Bedenken hinsichtlich Kosten und Komplexität ist zirka ein Fünftel der Anwender dabei, entsprechende Techniken einzuführen. Vor allem geht es Unternehmen in diesem Zusammenhang darum, ein Enterprise Single Sign-on einzuführen. Im Zusammenhang mit Identity und Access Management sind Provisioning und Federation zentrale Themen. Unternehmen möchten damit ihre Workflows und die Benutzerverwaltung beschleunigen sowie Authentifizierungsmöglichkeiten auf Arbeitsgruppenebene schaffen.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema


Hosted by:    Security Monitoring by: