Dell Security Survey 2015: Tipps für mehr IT-Sicherheit - Sicherheit - Heise Partnerzones Sicherheit . Dell, Cloud, Mobile, Security, Enterprise, Business, Software . Cloud, Mobile und Security: Erfahren Sie alles über die Lösungen von Dell /styles/zones/basis.css

Dell Security Survey 2015: Tipps für mehr IT-Sicherheit

Die Dell Sicherheitsstudie belegt, dass in vielen deutsche Unternehmen noch Nachholbedarf bei der IT-Sicherheit besteht. Wie Firmen am effizientesten ihre IT-Sicherheit verbessern können, zeigen die folgenden sieben Strategien.

Autor: Thomas Fischer

An der aktuellen Studie zur IT-Sicherheit, die Ende 2015 im Auftrag von Dell durchgeführt wurde, nahmen Unternehmen aus vielen verschiedenen Branchen teil. Die Grafik schlüsselt im Detail auf, aus welchen Bereichen die Teilnehmer an der Studie stammen.

 - 

Quelle: Dell

Die Resultate der Studie zeigen, wie es um die Sicherheit der IT in deutschen Unternehmen bestellt ist. Dabei stellt sich heraus, dass in zahlreichen Firmen nach wie vor die Organisation der IT-Sicherheit in Silos vorherrscht und die Unternehmen zentrale Aspekte der Sicherheit oft nachlässig oder leichtfertig behandeln. Besonders kritisch: In vielen Fällen hinkt die IT-Sicherheit dem aktuellsten Stand der Technik hinterher. Insgesamt zeigen die Studienergebnisse sieben Themenbereiche auf, die für die IT-Sicherheit in deutschen Unternehmen die gravierendsten Gefahren bergen. Mit den in diesem Beitrag vorgestellten Strategien können die Firmen diese Mängel beheben und so ihr Sicherheitsniveau verbessern.

1. Zentrale IT-Sicherheitsabteilung schaffen

Die Studie stellte die Frage, ob im Unternehmen eine Abteilung existiert, die ausschließlich für die Sicherheit der IT zuständig ist – weniger als ein Viertel der Befragten beantworteten diese mit „Ja“. Die Resultate der Sicherheitsstudie zeigen allerdings, dass hier die Unternehmensgröße ein relevanter Faktor ist. In den befragten Betrieben mit 1.000 oder mehr Mitarbeitern hat immerhin jedes dritte Unternehmen eine zentrale IT-Sicherheitsabteilung, bei den Unternehmen mit einer Mitarbeiterzahl zwischen 100 und 199 sind es nur acht Prozent. Doch wenn keine derartige Abteilung existiert, stellt sich die Frage: Wer ist im Unternehmen denn dann für die IT-Sicherheit verantwortlich? In der Mehrzahl der für die Studie befragten Firmen übernimmt der CIO oder IT-Leiter diese Aufgabe, in 19 Prozent der Unternehmen ein Bereichs- oder Projektleiter.

 - 

Quelle: Dell

Setzt ein Unternehmen auf dezentrale IT-Sicherheitsstrategien, bei denen die einzelnen Abteilungen – die etwa für ERP oder CRM zuständig sind – unterschiedliche Ansätze verfolgen, gefährdet es seine Sicherheit. Dieser Silo-Ansatz birgt nicht nur Risiken, sondern kann auch aus Kostensicht ineffizient sein. Die erfolgversprechendste Lösung in Bezug auf die IT-Sicherheit ist es, eine zentrale Sicherheitsabteilung zu etablieren.

2. Mehr Sicherheit dank CISO

Einen Chief IT Security Officer (CISO) gibt es nur in fünf der 175 für die Studie befragten Unternehmen. Die Mehrzahl der Teilnehmer ist als CIO oder IT-Leiter tätig (58,8 Prozent). Ein CISO steht einer zentralen IT-Sicherheitsabteilung vor und ist ausschließlich für die Informationssicherheit verantwortlich.

 - 

In seiner Tätigkeit organisiert und überwacht der CISO die Sicherheit aller IT-Systeme im Unternehmen, die zur Speicherung und Verarbeitung von Daten dienen. Er legt die unternehmensweit geltenden Sicherheitsrichtlinien fest und verantwortet deren Umsetzung und Einhaltung. Ein CISO übernimmt zudem die Aufgabe, den Mitarbeitern die Wichtigkeit der IT-Sicherheit und die entsprechenden Richtlinien zu vermitteln und sie in regelmäßigen Sicherheitsschulungen zu unterweisen. Die Unternehmensführung sollte die Position des CISO nicht unbesetzt lassen, da er für die Sicherheitsstrategie eine Schlüsselrolle spielt.

3. Definition und Umsetzung von Sicherheitsrichtlinien

Für eine sichere IT reicht es nicht aus, wenn ein Unternehmen nur die gesetzlichen Vorgaben in Bezug auf den Datenschutz und die Datensicherheit umsetzt. Vielmehr sollte es in der Planung seiner Sicherheitsrichtlinien die firmeninternen Voraussetzungen so berücksichtigen, dass die Maßnahmen effizient umsetzbar sind und sich die Mitarbeiter durch die Richtlinien nicht gegängelt fühlen. Klar formulierte, logisch nachvollziehbare Regeln und zielgerichtete Schulungen erleichtern es den Angestellten, sich eigenständig und motiviert an der Einhaltung der IT-Sicherheit zu beteiligen. Wichtig ist hier auch, den Wissensstand der Mitarbeiter in puncto IT zu berücksichtigen – sie müssen die geforderten Maßnahmen verstehen, um sie umsetzen zu können.  

Die Ergebnisse der Studie offenbaren, dass es gerade in kleinen Unternehmen mit wenigen Mitarbeitern oft am Einsatz von Sicherheitsrichtlinien mangelt. So gaben in der Befragung nur 57 Prozent der Betriebe mit weniger als 200 Angestellten an, dass sie entsprechende Richtlinien definiert und implementiert haben. Doch auch bei den größeren Unternehmen, die für die Studie befragt wurden, zeigen sich noch Lücken: Über 20 Prozent dieser Firmen haben anscheinend nicht die Relevanz von Sicherheitsrichtlinien berücksichtigt und verzichten auf deren Einsatz.

 - 

Quelle: Dell

Ein wichtiger Aspekt in Bezug auf die Sicherheitsrichtlinien ist Flexibilität: Wenn sich die geschäftlichen Bedingungen oder die IT-Infrastruktur ändern, kann es erforderlich sein, die Richtlinien zu überarbeiten und anzupassen. Die IT-Verantwortlichen setzen die geänderten Richtlinien dann zeitnah um und informieren die Mitarbeiter – falls nötig, veranlassen sie zusätzliche Schulungen.

4. Aktualisierung der IT-Strukturen

Die Dell IT-Sicherheitsstudie stellte den Teilnehmern auch die Frage, ob die IT-Sicherheit in ihren Unternehmen dem neuesten Stand entspricht. Die Resultate belegen, dass mehr als die Hälfte der Befragten der Meinung ist, dass dies nicht der Fall sei. Unterschiede bei der Beurteilung der Situation ergeben sich aber je nach Unternehmensgröße: So schätzen die kleineren Unternehmen mit weniger als 200 Mitarbeitern ihre IT-Sicherheit eher als aktuell ein, während die Befragten aus größeren Firmen hier öfter mit „Nein“ antwortete. Bei den Unternehmen mit 500 bis 999 Mitarbeitern gaben nur 33 Prozent eine positive Antwort.

 - 

Quelle: Dell

Ganz gleich wie groß ein Unternehmen ist oder wie viele Mitarbeiter es beschäftigt – die IT-Sicherheit zu vernachlässigen, ist höchst riskant. Wenn unternehmenskritische Daten in die falschen Hände gelangen oder gar beschädigt werden, kann das im schlimmsten Fall den Ruin der Firma bedeuten. Die Sicherheitsstudie stellte auch die Frage nach den Gründen, warum die IT-Sicherheit in den Unternehmen nicht dem aktuellsten Stand entspricht. Hier äußerten 57 Prozent der Teilnehmer, dass bislang noch keine Vorfälle oder Attacken aufgetreten seien. Sich deshalb aber in Sicherheit zu wiegen, wäre fahrlässig. Für IT-Verantwortliche muss die Aktualität der IT-Sicherheit höchste Priorität haben. Hierbei ist es häufig von Vorteil, wenn sie sich Unterstützung durch einen IT-Sicherheitsexperten wie Dell einholen. Gemeinsam lassen sich so effiziente Lösungen finden und realisieren, die im Rahmen des verfügbaren Budgets den aktuellen Sicherheitsstandards entsprechen.

5. Einsatz neuester IT-Sicherheitslösungen

Welche IT-Sicherheitslösungen die Unternehmen aktuell einsetzen, war ebenfalls Gegenstand der Befragung. Hier führte der Fragenkatalog jene speziellen Lösungen auf, die den neuesten Stand der Technik repräsentieren, aber erfahrungsgemäß noch nicht in jeder Firma zum Einsatz kommen:  Intrusion Detection, Identity Management, Mobile Security, Privileged Management und Data Loss Prevention (DLP).

 - 

Besonders auffällig: Während Intrusion Detection oder Identity Management recht weit verbreitet sind, setzen nur 28,4 Prozent der befragten Unternehmen eine DLP-Lösung in ihrer IT-Infrastruktur ein. Data Loss Prevention ist aber eine entscheidende Komponente, die Datenverlust verhindert und den IT-Verantwortlichen die Kontrolle über die Datennutzung im Unternehmensnetzwerk ermöglicht. In diesem Punkt sollten die Unternehmen, die bislang auf DLP verzichten, dringend nachrüsten und in eine geeignete DLP-Lösung für ihr Firmennetzwerk investieren.

6. Mehr IT-Sicherheit durch Mitarbeiterschulung

In der Abwehr der Attacken von Hackern und Cyber-Kriminellen sind die IT-Abteilungen permanent gefordert. Doch nicht nur der Einsatz technischer Lösungen sorgt für eine sichere IT im Unternehmen. Ein weiterer wichtiger Faktor ist die regelmäßige Schulung der Mitarbeiter, denn deren Verhalten hat direkten Einfluss auf die IT-Sicherheit. Problematisch sind dabei weniger böswillige Handlungen wie Datendiebstahl oder Sabotage, die nur sehr selten auftreten. Häufiger kritisch sind durch Fahrlässigkeit oder Unwissen hervorgerufene Sicherheitslücken. Denn Mitarbeiter können schon durch unbedachtes Surfen auf mit Malware verseuchten Webseiten das Firmennetzwerk gefährden. Und durch das Anklicken eines unverdächtig scheinenden E-Mail-Attachments können sie es Trojanern und anderer Schadsoftware ermöglichen, das Netzwerk zu infiltrieren.

Deshalb muss die IT-Abteilung die Mitarbeiter so schulen, dass sie diese Gefahren möglichst gut erkennen können. Die Dell IT-Sicherheitsstudie belegt, dass den befragten IT-Verantwortlichen die Wichtigkeit dieser Maßnahme anscheinend bewusst ist. Auf die Frage, welche Ansätze sie zur Optimierung der IT-Sicherheit wählen würden, nannten 71,6 Prozent als bevorzugte Lösung die verstärkte Schulung von Mitarbeitern.

 - 

7. Partnerschaft mit einem Sicherheitsspezialisten

Ein externer Partner kann nicht nur Lücken in der IT-Sicherheit des Unternehmens aufspüren, sondern mit entsprechendem Know-how konkrete Lösungsvorschläge liefern. Dell bietet für kleine und große Unternehmens die passenden Sicherheitslösungen, angefangen von der Hard- und Software bis hin zu Beratung und Support. Dazu zählen Firewalls der nächsten Generation, SonicWALL-Produkte und Lösungen für die Identitäts- und Zugriffsverwaltung sowie für die E-Mail- und Cloud-Sicherheit. Der Dell-ProSupport garantiert rund um die Uhr professionelle Unterstützung bei allen Fragen und Problemen zur kompletten IT-Struktur im Unternehmen.

Fazit

Die Ergebnisse der Dell IT-Sicherheitsstudie zeigen, bei welchen Aspekten der IT-Sicherheit in vielen deutschen Unternehmen noch Verbesserungsbedarf besteht. Mit den aufgezeigten Lösungen können sie aber gezielt und effizient die Mängel beheben. Die Zentralisierung der IT-Sicherheit, ein CISO als Hauptverantwortlicher, einheitliche Sicherheitsrichtlinien und Mitarbeiterschulungen sind dabei hilfreiche Maßnahmen. Mit dem Einsatz der neuesten Technik und Sicherheitslösungen können Unternehmen ihre IT-Sicherheit signifikant verbessern. Hier hat es sich in der Praxis bewährt, mit einem externen IT-Sicherheitsspezialisten wie Dell zusammen zu arbeiten.

Wie gut Ihr Unternehmen in Sachen IT-Sicherheit aufgestellt ist, können Sie schnell und einfach mithilfe der Security-Checkliste ermitteln.

Weiterführende Artikel

Dell Security Survey 2015: Wie gut ist die IT-Sicherheit in deutschen Unternehmen?

Checkliste zur IT-Security: Wie sicher ist Ihre Unternehmens-IT?

Dell Security Survey 2015: Auf die richtigen IT-Sicherheitspartner kommt es an 

1 | 2