Der Hersteller von Security-Software Symantec hat gerade seinen grossangelegten jährlichen "State of Enterprise Security"-Report herausgegeben. Für die diesjährige Studie wurden weltweit (allerdings nicht in der Schweiz) rund 2100 CIOs und IT-Security-Verantwortliche aus Grossunternehmen befragt.

Unternehmen betreiben auch 2010 viel Aufwand rund um Security, Datensicherung und die Einhaltung von Vorschriften und Behördenauflagen: Im Schnitt setzen die an der Umfrage beteiligten Unternehmen 120 Leute in diesen Bereichen ein. Bei Unternehmen ab 5000 Mitarbeitenden sind es im Schnitt 232. Trotzdem glaubt ein grosser Teil der IT-Verantwortlichen, dass ihre Sicherheitsabteilungen personell unterbesetzt sind. 45 Prozent befürchtet, dass dies gewisse oder sogar schwerwiegende Auswirkungen auf das Management ihrer Security-Systeme hat. Je 44 Prozent konstatieren Auswirkungen auf Netzwerk- und Client-Security und 39 Prozent auf Messaging-Security.

Zu den Gründen der Unterbesetzung äussert sich Symantec nicht. Es liegt aber natürlich nahe, einen Zusammenhang zu den krisenbedingten Budget- und –Personalkürzungen, die in den letzten beiden Jahren so viele IT-Abteilungen betrafen, zu ziehen.

Kompliziert wird die Lage für die Security-Leute unter anderem durch neue IT-Technologien, die auch neue Sichereitsrisiken mit sich bringen. Jeweils rund ein Drittel der Befragten zählt Server- und Client-Virtualisierung sowie Infrastruktur-, Plattform- und Software-"as-a-Service" zu den security-mässig heiklen neuen Technologien.

Einen grossen Aufwand verursacht auch die zunehmende Zahl von Auflagen, Vorschriften und Standards, denen Unternehmen genügen müssen oder die sie sich freiwillig auferlegen. Das durchschnittliche Grossunternehmen beschäftigt sich gegenwärtig gemäss der Symantec-Studie mit nicht weniger als 19 verschiedenen IT-Standards und Regelwerken und befolgt acht davon. Am häufigsten genannt werden die Stichworte ISO, HIPAA, Sarbanes-Oxley, CIS, PC und ITIL.

75 Prozent der beteiligten Unternehmen erlebten in den letzten 12 Monaten mindestens eine Attacke auf ihre IT-Systeme durch externe oder interne Angreifer. Knapp 30 Prozent wurden sogar regelmässig bis sehr häufig angegriffen.

24 Prozent meldeten, dass diese Attacken einigermassen effizient und 12 Prozent, dass sie sehr effizient waren – sprich nicht komplett abgewehrt werden konnten. Bei je knapp einem Drittel der erfolgreichen Angriffe wurden persönliche Kundeninformationen oder intellektuelles Eigentum des Unternehmens entwendet. Ebenfalls knapp ein Drittel verursachte Systemausfälle.

Aus 92 Prozent der Angriffe, die nicht abgewehrt werden konnten, entstand ein finanzieller Schaden, je etwa zu gleichen Teilen durch Umsatzausfälle, Produktivitätsminderungen oder den Verlust von Kundenvertrauen. Insgesamt schätzen die Befragten den durch Cyberattacken bei ihren Unternehmen in den letzten 12 Monaten verursachten Verlust auf durchschnittlich 2 Millionen Dollar. (hjm)