So richtig Freude macht das Sicherheitsthema den meisten Unternehmen nicht. Trotzdem steigen die Budgets rasant, zumal die wachsenden Bedrohungen und regulatorischen Zwänge Handlungsbedarf erzeugen. Die Analysten von Forrester Research haben in ihrer Bestandsaufnahme für 2009 knapp 950 nordamerikanische und europäische Entscheider befragt. Die Hälfte waren Topmanager aus dem Vorstand, die andere Hälfte Entscheidungsträger aus der IT. Hier ihre Antworten auf elf Fragen zum Sicherheits-Status-quo.

Wie viel Geld geben Unternehmen für IT-Sicherheit aus?
Im Jahr 2008 investierten Unternehmen weltweit 11,7 Prozent ihres gesamten Budgets für den IT-Betrieb in Sicherheitstechnik und -services. Zum Vergleich: 2007 lag der Anteil bei 7,2 Prozent. 2009, so schätzen die Analysten von Forrester, waren es sogar 12,6 Prozent.

Ist Sicherheit außerhalb der IT-Organisation ein Thema?
Ja. Mehr als ein Drittel der IT-Sicherheitsentscheider in Unternehmen berichten an den Vorstand oder den CEO (Dotted Line). Ein Fünftel wendet sich an ein Executive Committee. IT-Sicherheit wird von den Vorständen, die alle Sicherheitsrisiken für das Kerngeschäft im Griff haben möchten, mit Interesse wahrgenommen. Dennoch bleiben die meisten IT-Sicherheitsverantwortlichen und -gruppen verantwortlich für die Infrastruktursicherheit, das Threat- und Vulnerability-Management, die Lauffähigkeit der Systeme und Fragen der regulatorischen Compliance.

Was sind die Aufgaben der Sicherheitsverantwortlichen?
In allererster Linie der Schutz der Daten. 90 Prozent halten dies für wichtig oder sehr wichtig, während 86 Prozent die Applikations-Sicherheit und 84 Prozent Business Continuity beziehungsweise Disaster Recovery nennen. Etwas weniger häufig werden Threat-Management (81 Prozent) und Compliance (80 Prozent) angeführt.

Ist Sicherheit nur ein Lippenbekenntnis?
Bis zu einem gewissen Grad ja. Wer Sicherheitsinitiativen im Unternehmen zu verantworten hat, bekommt oft nicht die Aufmerksamkeit und die Ressourcen, die eigentlich nötig wären. 70 Prozent der Befragten räumen ein, dass andere Dinge fast immer Priorität gegenüber Sicherheitsthemen haben. Die Folge sind zu viele kurzfristige, taktische Aktivitäten. Außerdem beklagen die Unternehmen einen dauernden Mangel an finanziellen Mitteln und Personal.

Ist Security ein Outsourcing-Thema?
Der Zugriff entsprechender Dienstleister auf gut ausgebildetes Personal und die Kostenvorteile machen Managed Security Services zunehmend interessant. Nicht immer kommt die Auslagerung von IT-Sicherheitsthemen günstiger, aber sie verspricht zumindest größere Kostentransparenz und -kalkulierbarkeit. Viele Anwender überlassen Dienstleistern bereits das Filtern von E-Mail- und Web-Inhalten (siehe Beitrag: Das E-Mail-Chaos beginnt im Kopf). In diesem Jahr ist die externe Bewertung der IT-Systeme auf ihre Verwundbarkeit hin ebenfalls ein Thema, darüber hinaus auch das Monitoring der Log-files auf Server-Ebene. Auch das Inbetriebnehmen von Firewalls bereitet Firmen Schwierigkeiten.

Wie halten’s Unternehmen mit Business Continuity Management?
Geht es um Konzepte, um dauerhaft einen geregelten Betrieb aufrechtzuerhalten, sehen die befragten IT-Entscheider das größte Problem in einem zu starken Fokus auf den Teilaspekt IT Disaster Recovery - 39 Prozent der Befragten beklagen dies. Unternehmen konzentrieren sich ihrer Ansicht nach zu sehr darauf, die IT im Notfall wiederherstellen zu können. Datenrettung und das Erneuern defekter Infrastruktur reichen aber nicht aus. Mit 37 Prozent beklagen fast ebenso viele die zu knappen Mittel, mit denen sichere IT-Abläufe garantiert werden können.

Einem Viertel ist nicht klar genug definiert, wie eng oder breit das eigene Unternehmen Business Continuity eigentlich definiert und wer zuständig ist. Die fehlende Unterstützung und Akzeptanz durch das Topmanagement wird zudem kritisiert, ebenso die Tatsache, dass es oft kein formales Programm für Business Continuity gibt. Bei 41 Prozent der befragten Firmen sind die für den IT-Betrieb und die Rechenzentren zuständigen Mannschaften auch für Business Continuity verantwortlich. In jeweils gut 20 Prozent kümmern sich das operative Risk Management oder die IT-Security-Verantwortlichen darum.

Treiben die Security-Teams die Themen Identity und Access Management?
Sicherheitsbedenken haben in den letzten zwei Jahren dazu geführt, dass die Verwaltung von Benutzerdaten und Zugangsberechtigungen in den meisten Firmen groß geschrieben wird. Insgesamt 52 Prozent der befragten Unternehmen bestätigen dies. Der zweite Faktor, der Identity und Access Management treibt, sind Compliance-Richtlinien. Dies Argument wird von weiteren 22 Prozent der Befragten ins Feld geführt. Trotz großer Bedenken hinsichtlich Kosten und Komplexität ist zirka ein Fünftel der Anwender dabei, entsprechende Techniken einzuführen. Vor allem geht es Unternehmen in diesem Zusammenhang darum, ein Enterprise Single Sign-on einzuführen. Im Zusammenhang mit Identity und Access Management sind Provisioning und Federation zentrale Themen. Unternehmen möchten damit ihre Workflows und die Benutzerverwaltung beschleunigen sowie Authentifizierungsmöglichkeiten auf Arbeitsgruppenebene schaffen.

Wie sichern Unternehmen ihre Clients?
In der Vergangenheit lag vor allem der zentrale Ansatz des Threat Management im Trend: Endpunktsicherheit sollte über eine zentrale, Web-gestützte Benutzeroberfläche hergestellt werden. Inzwischen interessieren sich Firmen jedoch mehr für Endpoint-Datenschutztechniken wie Full Disk Encryption, bei der sämtliche Daten eines Datenträgers verschlüsselt werden, oder File-Level Encryption, wo einzelne Dateien oder Directories vom File-System selbst verschlüsselt werden. Mehr Zulauf bekommen auch Data Leakage Prevention (DLP) und Endpoint-Kontrolle.

Ersteres hilft zu verhindern, dass Daten unerlaubterweise das Unternehmen verlassen. Zweiteres ermöglicht, Schwachstellen an verwalteten (und nicht verwalteten) Endgeräten zu erkennen und zu beheben. Investitionen in die Client-Sicherheit fließen zunehmend in solche Datenschutztechniken. Zwischen dem jeweils dritten Quartal 2008 und 2009 investieren 22 Prozent der Befragten in Verschlüsselungstechniken, 18 Prozent in Endpunktkontrolle und 16 Prozent in Präventivmaßnahmen gegen unerwünschten Datenabfluss.

Und wie steht’s mit der Anwendungssicherheit?
Geht es um Angriffspunkte und Sicherheitslücken in Anwendungen, haben die IT-Sicherheitsorganisationen in 65 Prozent der Fälle den Hut auf. Eine ebenso große Gruppe sagt, Applikationsschwachstellen hätten ein hohes Risikopotenzial. Entsprechend steigt gegenwärtig die Nachfrage nach Application Firewalls, Testing- und Scanning-Tools. Die Verbreitung von Penetrationstests und Sicherheitsberatung rund um Anwendungen ist geringer, aber gleichwohl ebenfalls im Steigen.

Dauerthemen: Die Kosten und deren Rechtfertigung.
Investitionen in IT-Sicherheit sind eine Herausforderung, bringen aber nur bedingt unmittelbaren Geschäftsnutzen (etwa wenn Spam-Mails reduziert und die E-Mail-Korrespondenz optimiert wird). Aus Sicht der Vorstände sind sie daher ein notwendiges Übel. Kein Wunder das knapp die Hälfte der Befragten sagt, das Aufwands- und Rechtfertigungsthema sei besonders schwierig. Zu den Top-Herausforderungen zählen außerdem 36 Prozent der Befragten die Komplexität der Architektur und der internen Standards (35 Prozent). Die Datensicherheitstechniken, die meisten zum Einsatz kommen, sind E-Mail- und SAN-Verschlüsselung. Die Sicherheitstechniken, die als nächstes pilotiert oder eingeführt werden sollen, sind Data Leakage Prevention (21 Prozent), Application Encryption Platforms (19 Prozent) und Enterprise Key Management Solutions (19 Prozent).

Wie entstehen Kaufentscheidungen im Security-Umfeld?
Der Einfluss von Personen aus dem persönlichen Netzwerk und Freundeskreis entscheidet in 79 Prozent aller Fälle über IT-Sicherheitsinvestitionen. Nahezu ebenso wichtig sind Publikationen (77 Prozent) und (Industrie-)Veranstaltungen (74 Prozent). Die Unternehmen vertrauen einschlägigen Websites von unabhängigen Quellen wie von Herstellern.