Unternehmenswerte sind durch die fortschreitende technologische Vernetzung verletzbarer denn je. Obwohl diese Aussage für praktisch jeden Wirtschaftszweig gilt, herrschen beim Umgang mit der IT-Sicherheit nach wie vor große Unterschiede zwischen den einzelnen Branchen. Dies ist ein wesentliches Ergebnis der alljährlich durchgeführten Sicherheitsstudie der Wirtschaftsprüfungs- und Beratungsgesellschaft Deloitte.: Während die Finanzindustrie schon seit vielen Jahren mit absoluter Priorität in IT-Sicherheit investiert und die „Life Sciences“-Branche pflichtgemäß auf umfassende Regulierungsanforderungen reagiert, besteht bei Technologie-, Medien und Telekommunikationsunternehmen noch erheblicher Nachholbedarf.
Rapider Anstieg von Cyberattacken bei Finanzinstituten
Die großen, global agierenden Finanzinstitute erlebten im letzten Jahr einen rapiden Anstieg krimineller Cyberattacken, die meist von externen Tätern verübt wurden. Die Ausführung und der Aufwand der Angriffe weisen darauf hin, dass hier mehrheitlich professionelle Hacker am Werk sind oder es sich bei den Fällen sogar um Organisierte Kriminalität handelt.
Auffällig bei der Betrachtung der drei häufigsten Angriffsarten (intern wie extern) der letzten zwölf Monate ist die Tatsache, dass sie direkt auf materiellen Gewinn abzielten. An den externen Angriffen hatte das so genannte Phishing und Pharming mit 51 Prozent den größten Anteil, unmittelbar gefolgt von dem Versuch, Spyware und Malware zu installieren (48 Prozent). Betrugsversuche durch Insider sowie der Missbrauch von Kundendaten repräsentierten mit jeweils 28 bzw. 18 Prozent den höchsten Anteil bei internen kriminellen Aktivitäten.
Im Finanzdienstleistungssektor schafften es gezielte Maßnahmen gegen Identitätsdiebstahl und Kontenbetrug erstmalig unter die „Top-Five“ der wichtigsten Sicherheitsinititativen für das Jahr 2006. Mit 88 Prozent der Befragten verfügt ein Großteil der Unternehmen inzwischen über unternehmensweite Business-Continuity-Programme. Einen Chief Information Security Officer gibt es beispielsweise bei den Finanzinstitutionen im Raum EMEA (Europa, Mittlerer Osten, Afrika) sogar in 91 Prozent der befragten Unternehmen.
BCM nur bei der Hälfte der Technologie-, Medien- und Telekommunikationsunternehmen umgesetzt
Im Bereich der Technologie-, Medien- und Telekommunikationsunternehmen (TMT) zeigt sich ein anderes Bild: Hier können gerade einmal die Hälfte der Befragten ein unternehmensweites Business-Continuity-Programm vorweisen. Damit bewegt sich die Branche klar unterhalb des ermittelten Durchschnitts aller Industriezweige, der in den USA bei 83 Prozent liegt.
Dabei scheinen gerade Unternehmen dieses Segments besonders attraktiv für Angreifer: Mehr als die Hälfte der befragten Unternehmen verzeichnete in den letzten zwölf Monaten konkrete Angriffe. Doch die Informationstechnologie, das Kerngeschäft viele dieser Unternehmen, erweist sich in der Praxis als ausgesprochen verwundbar und anfällig für Missbrauch. Auch hier werden – wie bei den Finanzinstituten – die Angriffe immer zahlreicher und raffinierter. Rund ein Drittel der berichteten Angriffe der letzten 12 Monate resultierte in einem signifikanten finanziellen Schaden.
Die eingesetzte Sicherheitstechnologie beschränkt sich meist auf konventionelle Instrumente wie Firewalls und Virenschutzprogramme. Gerade einmal vier Prozent aller Befragten der TMT Branche geben an, sie hätten ausreichende Präventivmaßnahmen getroffen.
Die Angst vor dem eigenen Mitarbeiter
Stark ausgeprägt ist indes die Angst vor dem „inneren Feind“: Ganze 83 Prozent der befragten Unternehmen befürchten, von ihren eigenen Mitarbeitern geschädigt zu werden – insbesondere durch Diebstahl geistigen Eigentums und den Versand vertraulicher Informationen mittels E-Mail an Unbefugte.
Nicht ganz so hoch wie im TMT-Segment ist der Anteil der Unternehmen aus dem Bereich „Life Sciences“, die in den letzten zwölf Monaten Angriffe auf ihre Systeme verzeichneten: Insgesamt 26 Prozent der Befragten gaben einen Angriff auf ihre Sicherheitssysteme an. Auch in diesem Wirtschaftszweig gingen die Schäden jedoch bei einigen Unternehmen in die Millionen. Die Branche hat mit der vermehrten Installation eines Sicherheitsbeauftragten reagiert: Zwei Drittel der Befragten haben inzwischen einen solchen Chief Security Officer (CSO) eingesetzt.
Bei Unternehmen aus dem Life-Sciences-Bereich finden sich ausgesprochen sensible Produktinformationen und Prozesse. Entsprechend hoch sind auch die Compliance-Anforderungen und die Messlatte für erforderliche Sicherheitsmaßnahmen. Das Gefahrenspektrum ist weitaus größer als in vielen anderen Bereichen und beschränkt sich bei Weitem nicht auf Attacken aus dem Cyberspace. Auch bzw. gerade der Datenschutz spielt in dieser Branche eine große Rolle. Vor diesem Hintergrund verwundert es, dass nur sieben Prozent aller Befragten angeben, ein ausgereiftes, unternehmensweites Datenschutzprogramm etabliert zu haben.
Die vollständigen Studien stehen auf der Website von Deloitte unter
zum kostenlosen Download zur Verfügung.