Mobile Endgeräte und BYOD halten die CISOs mächtig auf Trab

Im vergangenen Jahr waren es die grossen Cyberangriffe, die die Chief Information Security Officers (CISOs) von in der Schweiz ansässigen Unternehmen sehr stark beunruhigten. In diesem Jahr sind laut dem "ISPIN Security Radar 2012" die Themen "Bring your own Device" (BYOD) und "Mobile Device Management" (MDM) in den Vordergrund gerückt.

"Den CISOs ist bewusster als im letzten Jahr, dass sich die Angriffsfläche ihres Unternehmens durch technische Entwicklungen ständig vergrössert", sagt Studienleiter Marcus Beyer. Dazu soll nebst den mobilen Geräten insbesondere auch Cloud Computing beigetragen haben.

Breitere Teilnehmerschaft

Ispin hat über einen Zeitraum von fünf Wochen von Mai bis Juni 2012 103 Studienteilnehmer befragt, die mehrheitlich als Sicherheitsbeauftragte und CISOs in Schweizer Unternehmen arbeiten. Im Gegensatz zum Vorjahr habe an der diesjährigen Umfrage eine breitere Teilnehmerschaft an der Untersuchung mitgemacht.

CISOs aus dem Bankensektor waren mit 34 Prozent wie bereits im vergangenen Jahr am häufigsten vertreten. Zudem ist die Anzahl der grösseren Unternehmen laut Ispin gewachsen. Insgesamt seien die Ergebnisse trotz des unterschiedlichen Teilnehmerfeldes weitgehend stabil geblieben. "Über Branchen und Mitarbeiteranzahl hinweg haben Unternehmen ähnliche Ansätze und Prioritäten", bestätigt der Präsident und Verwaltungsratsvorsitzende der Ispin AG Marco Marchesi.

Risikomanagement wichtiger

Wie schon in den vergangenen Jahren wird das Thema Informationssicherheit in den meisten Fällen bei der IT (32 Prozent) oder der IT-Sicherheit (28 Prozent) angesiedelt und nur in den wenigsten Fällen direkt beim CFO oder CEO (je 6 Prozent). 58 Prozent und damit nur etwas mehr als die Hälfte der Befragten stufen die Sicherheitssituation und das Sicherheits- und Risikobewusstsein im Unternehmen als gut oder sehr gut ein.

"Gesetzliche und rechtliche Vorgaben" bleiben mit 98 Prozent (Mehrfachnennungen) wie im Vorjahr (99 Prozent) die wichtigsten Budget- und Ressourcentreiber. Vergrössert hat sich dort der Abstand zu den darauffolgenden Treibern "Business Continuity/Disaster Recovery", "Reputation des Unternehmens" und "Risikomanagement" mit je 93 Prozent. Letztere wurde dieses Jahr neu als Antwortmöglichkeit hinzugefügt und stieg direkt auf dem zweiten Platz ein.

Datenverlust als grösstes Risiko

Die meisten festgestellten Sicherheitsvorfälle waren wie bereits im Vorjahr Datenverluste (23 Prozent), Social-Engineering-Angriffe (20 Prozent) und kompromittierte Applikationen (18 Prozent). Letztere nahmen am deutlichsten um 5 Prozentpunkte zu. Den Datenverlust geben 63 Prozent der CISOs als grösstes Risiko für die Zukunft an.

Bemerkenswert ist laut den Studienautoren, dass die Gefahr "nicht autorisierter Zugriff" an Bedeutung verloren und von 64 Prozent im Vorjahr auf 39 Prozent gesunken ist. Im Gegensatz dazu gewinnt das Thema "Übersichtsverlust über Prozesse und Aktionen, die die Unternehmensdaten involvieren" an Bedeutung. Es stieg um 10 auf neu 38 Prozent.

Bereits 70 Prozent nutzen Tablets

Auch die Befunde zu BYOD und der Nutzung mobiler Endgeräte sind bemerkenswert. Während Notebooks (95 Prozent) und Smartphones (93 Prozent) seit geraumer Zeit zum Berufsalltag gehören, hat die Kategorie Tablets kräftig aufgeholt. In 70 Prozent der Unternehmen werden die Geräte unterdessen beruflich eingesetzt.

Die Einführung von mobilen Endgeräten wird und wurde in den meisten Fällen von ganz oben vorangetrieben. 71 Prozent nennen Top-Management als häufigsten Treiber noch vor den Mitarbeitern (35 Prozent). Dabei haben rund ein Drittel der Unternehmen BYOD bereits umgesetzt, ein weiteres Drittel plant dies. Das restliche Drittel gibt an, dass BYOD langfristig nicht geplant sei.

BYOD: 73 Prozent der Unternehmen bieten keinen Support

Wer sein privates Gerät geschäftlich nutzt, ist indes in den meisten Fällen auf sich alleine gestellt und erhält keinen Support. 73 Prozent der Befragten kümmern sich nur um firmeneigene Geräte. 14 Prozent bieten auch bei mitgebrachten Geräten Support an. "Das ist der Beweis dafür, dass das ganze Thema strukturell nicht sauber eingeführt wurde", kommentiert Marco Marchesi dieses Ergebnis.

Auch der Schutz mobiler Endgeräte ist noch nicht Alltag in den Unternehmen. So gaben 26 Prozent der befragten CISOs an, dass sie aktuell keine Software einsetzen, um die mobilen Endgeräte zu schützen. Weitere 19 Prozent machten dazu keine Angaben. Die am häufigsten eingesetzten Lösungen sind jene von den Anbietern Mobile Iron (13 Prozent), Good Technologies (11 Prozent) oder McAfee (10 Prozent).

Fortschritte bei Awareness-Massnahmen

Einen Schritt vorwärts haben die Unternehmen bei der Umsetzung von Awareness-Massnahmen gemacht. Nur 14 Prozent der Befragten gaben an, dass gar keine Massnahmen umgesetzt oder geplant sind. Marcus Beyer hat zudem eine Öffnung hin zu neuen und kreativeren Formen der Wissensvermittlung erkannt, zum Beispiel mittels Wettbewerben und Quiz.

Die Wichtigkeit, den Lernenden zu involvieren und damit die Nachhaltigkeit und die Anwendbarkeit der Massnahmen zu verbessern, sei den Unternehmen bewusster geworden. Es kommen heute mehr Plakate und Aufsteller (25 Prozent, Vorjahr 19 Prozent) zum Einsatz. Auch gibt es zunehmend mehr Workshops (23 Prozent, Vorjahr 14 Prozent). Abgenommen hat die Sensibilisierung mittels Audits (13 Prozent, Vorjahr 26 Prozent).

Zu wenig Unterstützung im Management

Zu den grössten Herausforderungen für die Zukunft zählen die CISOs mit 95 Prozent die "Verfügbarkeit von qualifizierten Mitarbeitenden" und mit 90 Prozent ein "angemessenes Budget". 77 Prozent (Vorjahr 68 Prozent) beklagen, dass sie zu wenig Unterstützung im Management finden. Nach wie vor falle es den CISOs schwer, die nötigen Ressourcen und finanziellen Mittel zu bekommen, schreiben die Studienautoren.

Gleichzeitig würden die Anforderungen an die Sicherheitsabteilungen immer komplexer. "Sobald Sicherheitsinitiativen das Planungsstadium verlassen und in die Umsetzung gehen, tun sie im Arbeitsalltag weh – da kommen Reklamationen dann häufig aus genau dem Management, das zuvor nach den Massnahmen verlangt hat", weiss Rainer Kessler, Senior Risk & Security Advisor bei Ispin.