Steigende Zahl neuer Technologien gefährdet die Sicherheit in Unternehmen

Über 10.000 IT-Sicherheitsexperten weltweit geben Know-how-Defizite zu

(21.02.11) - Die Befragung von mehr als 10.000 Experten für Informationssicherheit weltweit (darunter 2.404 in EMEA) hat gezeigt, dass die steigende Zahl und die Vielfalt neuer Technologien, die in Unternehmen genutzt werden, die Sicherheit gefährden. Das setzt die Verantwortlichen zunehmend unter Druck. Sollte diese Entwicklung weiter voranschreiten, ist die Sicherheit von Unternehmen, Behörden und Privatnutzern in den nächsten Jahren akut gefährdet. Die (ISC)2 Global Information Security Workforce Study (GISWS) 2011 wurde von Frost & Sullivan durchgeführt, Auftraggeber der Studie ist (ISC)2, die Non-Profit-Organisation zur Weiterbildung und Zertifizierung von Fachkräften für Informationssicherheit.

Nach den Ergebnissen der Studie haben die Bedrohungen durch mobile Endgeräte, Cloud Computing, soziale Netzwerke und unsichere Softwareapplikationen stark zugenommen. Hinzu kommt, dass den Sicherheitsverantwortlichen immer mehr zusätzliche Verantwortungsbereiche, wie beispielsweise die Abwicklung von Kundenanfragen zu Sicherheitsaspekten übertragen werden. Diese Situation verstärkt den Druck im Arbeitsalltag, so dass bereits Überlastungserscheinungen bei den für Sicherheit in Unternehmen Verantwortlichen zu beobachten sind.

Eine weitere wichtige Erkenntnis der Studie, ist, dass die gesamte Branche ein ernstzunehmendes Fortbildungsdefizit aufweist. Die Befragten bestätigten durchgehend den Bedarf von Weiterbildungsmaßnahmen und zusätzlichen Schulungen. Die meisten Studienteilnehmer beklagten vor allem, dass immer mehr Technologien und Anwendungen in ihren Unternehmen eingesetzt werden, ohne einen Sicherheitsmanagementkonzept dafür zu haben. Für die Erstellung eines solchen Konzepts benötigen sie laut eigener Aussage jedoch zusätzliches Know-how und Ressourcen.

"Es zeigt sich, dass in den meisten Unternehmen die Endnutzer über den Einsatz von Technologien und Anwendungen entscheiden und nicht das Management", sagt Robert Ayoub, globaler Programmdirektor für Netzwerksicherheit bei Frost & Sullivan. "Dadurch entsteht ein Katz und Maus Spiel, da immer wieder neue Technologien und Anwendungen gesichert werden müssen, wofür den Verantwortlichen neben Zeit, häufig das notwendige Know-how fehlt. Diese Situation schafft große Sicherheitsrisiken für Organisationen in aller Welt, die dadurch eingedämmt werden können, mehr in Spezialisten und Fachkräften investiert wird."

"Eine positive Entwicklung ist, dass Verantwortliche für Informationssicherheit mittlerweile auf die Unterstützung der Unternehmensführung zählen können, sie in den meisten Unternehmen eindeutig die Verantwortung für die Sicherheit der geschäftskritischen Daten und Systeme tragen und auf eine positive Gehaltsentwicklung blicken können", so Ayoub weiter.

Die zentralen Erkenntnisse der Studie sind:

· Frost & Sullivan schätzt, dass 2010 weltweit rund 2,28 Millionen Fachkräfte für Informationssicherheit (über 617.000 in EMEA) beschäftigt waren. Der Fachkräftebedarf wird bis 2015 voraussichtlich auf fast 4,2 Millionen ansteigen (1,15 Millionen in EMEA). Dies entspricht einer jährlichen Wachstumsrate von 13,2 Prozent (identisch in EMEA). Das verspricht gute Karriereaussichten für qualifizierte Kandidaten.

· Sichere Softwareentwicklung ist ein bedeutender Schwerpunkt für IT-Sicherheitsexperten. Schwachstellen in Anwendungen werden von 72 Prozent der Befragten weltweit (69 Prozent in EMEA) als größte Bedrohung für Organisationen eingestuft; 20 Prozent (19 Prozent in EMEA) gaben an, sie setzen sich für sicheren Softwareentwicklung ein.

· Fast 70 Prozent (67 Prozent in EMEA) der Befragten verfügen nach eigenen Angaben in ihren Unternehmen über verbindliche Richtlinien und Technologien, für den sicheren Umgang mit mobilen Endgeräten. Die Sicherheit mobiler Endgeräte liegt in der Liste der als wichtig eingestuften Sicherheitsbedrohungen dennoch an zweiter Stelle (weltweit und EMEA).

· Beim Cloud Computing wird laut Studie eine beträchtliche Lücke zwischen der Verbreitung der Technologie und dem notwendigen Know-how zur Sicherung deutlich. Mehr als 50 Prozent (55 Prozent in EMEA) der Befragten unterhalten nach eigenen Angaben sogenannte private Clouds. Mehr als 70 Prozent (75 Prozent in EMEA) sehen die Notwendigkeit für Weiterbildung, um Cloud-basierte Technologien angemessen sichern zu können.

· Sicherheitsfachleute sind auf die Bedrohungen durch soziale Netze nicht vorbereitet. Befragte sprachen von uneinheitlichen Richtlinien und mangelnden Sicherheitskonzepten. Dabei gaben knapp unter 30 Prozent (31 Prozent in EMEA) der Befragten an, überhaupt keine Sicherheitsrichtlinien für soziale Vernetzungsmedien in ihren Unternehmen zu haben.

· Viren-, Würmer- und Hackerangriffe fielen in der Rangliste der als besonders gefährlich eingestuften Sicherheitsbedrohungen gegenüber 2008 (dem Jahr in dem die letzte Studie durchgeführt wurde) ebenso zurück, wie Angriffe durch interne Mitarbeiter.

· Die wichtigsten Faktoren für das anhaltende Stellenwachstum in der Branche, sind gesetzliche Anforderungen, das höhere Risiko von Datenpannen durch mobile Endgeräte sowie der Bedarf an Sicherheitsmanagement für Cloud-basierte Services.

· Rund zwei Drittel der Befragten weltweit rechnen nicht mit einem Anstieg der Budgets für IT-Sicherheit oder für Aus- und Weiterbildungsmaßnahmen im Jahr 2011.

· Die Gehälter von IT-Sicherheitsfachkräften verzeichneten trotz stagnierender Budgets einen gesunden Aufwärtstrend: Etwa 60 Prozent der Befragten erhielten 2010 eine Gehaltserhöhung.

"Sicherheitsfachkräfte müssen ihr Know-how konsequent an die neuen Herausforderungen anpassen. Aber sie stehen nicht allein in der Verantwortung. Sicherheit kann nur durch ein gemeinsames Vorgehen von Unternehmen, Politik und Wissenschaft funktionieren", sagt John Colley, CISSP, Managing Director für die EMEA-Region bei (ISC)2.

Über die Studie

In der bisher umfangreichsten Studie, die in der IT-Sicherheitsbranche durchgeführt wurde, sind für die Studie im Herbst 2010 weltweit 10.413 IT-Sicherheitsexperten aus Unternehmen und öffentlichen Organisationen befragt worden, davon 61 Prozent in Nord- und Südamerika, 22,5 Prozent in Europa, dem Nahen Osten und Afrika (EMEA) und 16,5 Prozent in Asien und der Pazifikregion. Insgesamt 45 Prozent (42 Prozent in EMEA) waren bei Organisationen mit mehr als 10.000 Mitarbeitern beschäftigt. Die durchschnittliche Berufserfahrung der Befragten lag bei über neun Jahren, während 5 Prozent (7 Prozent in EMEA) Führungspositionen wie z. B. Chief Information Security Officer bekleideten. ((ISC)2: ma)