Unternehmen bei Sicherheit in der Kostenfalle

Trotz der massiven Virenattacken im Sommer und Millionenschäden durch Stromausfälle in den USA, Dänemark und Italien haben Unternehmen bisher ihr Investitionsverhalten bei Sicherheits- und Verfügbarkeitslösungen kaum verändert. Lediglich kleine und mittelständische Unternehmen fragen vermehrt nach sichereren Infrastrukturen. Diese Erfahrung machen derzeit Sicherheitsberater bei IBM Global Services.

„Viele IT-Abteilungen sitzen offensichtlich in einer Kostenfalle“, sagt Sven Müßig, Resilience Solution Manager, der bei IBM Deutschland für anpassungsfähige, sichere und verlässliche IT-Infrastrukturen zuständig ist. „Notwendige Investitionen können nicht getätigt werden – nicht zuletzt deshalb, weil eine etablierte Return-on-Investment Rechnung für viele Sicherheits- und Verfügbarkeitslösungen fehlt.“ „Mit steigenden Erwartungen, sich verändernden Rahmenbedingungen und knappem IT-Budget wird es für Unternehmen immer schwieriger ihre IT-Infrastruktur so zu planen, dass auf Änderungen im Umfeld zeitnah reagiert werden kann“, so Müßig.

Naturkatastrophen, Viren oder menschliches Versagen führten zu verpassten Marktchancen, geschädigtem Ruf, verlorenen Kunden und sogar zum Ruin eines Unternehmens. Eine Analyse von über 1000 Unternehmen im Rahmen von IT21, einem von IBM und dem Institut für Wirtschaftsinformatik der Universität Münster entwickeltem Analyseinstrument, habe gezeigt, dass die Katastrophenvorsorge in vielen Fällen mangelhaft ist. Vor allem kleinere Unternehmen seien bisher häufig nicht vorbereitet: 24 Prozent verfügten über keine Regelungen für den Ernstfall. Bei mittelgroßen Unternehmen seien dies 17 Prozent, bei großen nur neun Prozent. Ein Stromausfall wie im Nordosten der Vereinigten Staaten und im Süden Kanadas, von dem 50 Millionen Menschen betroffen waren, hätte auch bei uns verheerende Folgen gehabt.

Nach einer Untersuchung der Gartner Group ist es existentiell, dass Unternehmen ihre kritischen Systeme innerhalb von 24 Stunden wiederherstellen. Um Schäden möglichst gering zu halten und eine schnelle Wiederaufnahme der Geschäftsabläufe sicherstellen zu können ist ein Business Continuity Plan essentiell. Diese Lösung sollte im Vorfeld von jedem Unternehmen in Betracht gezogen werden. Gerade kleine und mittelständische Unternehmen sind jedoch häufig selbst nicht in der Lage, ihre IT-Infrastruktur rund um die Uhr zu überwachen.

Eine von Psinet Europe und Pan Security International (Pansec) im September präsentierte Studie offenbarte bestätigte vorweg die Ergebnisse der IBM-Forscher: Unternehmen verzichten oft leichtfertig auf den Schutz vor Internet-Angriffen. Im Rahmen der Studie wurden zwei „Dummy“-Websites erstellt, die europäischen Geldinstituten ähnelten. Eine Site wurde ohne Sicherheitsvorkehrungen ins Netz gestellt, die andere dagegen mit einer Standard-Firewall ausgestattet. Die Anzahl der Hacker-Angriffe, denen beide Sites über einen Zeitraum von acht Wochen ausgesetzt waren, wurden beobachtet und verglichen.

Die Untersuchung ergab, dass der ungeschützte Server in zwei Monaten 19.128 Mal angegriffen wurde – mehr als zehnmal so oft wie der mit einer Firewall geschützte Server, der lediglich 1.672 Angriffe erdulden musste.