Selbst in Zeiten knapper Kassen müssen Sicherheitsbeauftragte in der Finanzindustrie nicht um ihre Budgets fürchten – sie sind sogar gestiegen. Gestiegen sind auch die Anforderungen: Erstmals stehen mit Zutrittskontrollsystemen kostenintensive Präventionsinstrumente ganz oben auf der Prioritätenliste, noch vor Programmen zum Schutz sensibler Unternehmensdaten. Eine wirklich wirksame Sicherheitsstrategie setzt jedoch die Verbindung von Security- und Geschäftszielen voraus – doch hieran mangelt es bei der Mehrheit der Unternehmen offenbar immer noch deutlich. Im internationalen Vergleich sind Unternehmen des EMEA-Raums eigenen Einschätzungen zufolge am besten gegen die vielfältigen Gefahren gerüstet. Auch die Zufriedenheit mit den materiellen Ressourcen liegt über dem internationalen Durchschnitt. Länderübergreifend teilen jedoch nahezu alle Unternehmen und Organisationen der Finanzbranche die Sorge um die „innere Bedrohung“. Das zeigt die aktuelle „2010 Financial Services Global Security Study“ von Deloitte, die sich im Rahmen einer Informationssicherheitsstudienreihe (Berichte zur Konsumgüterindustrie und zum Life-Science-Sektor folgen in Kürze) mit der Finanzindustrie beschäftigt.
„Zwei Elemente sind von herausragender Bedeutung: Zum einen die Effizienz von Sicherheitssystemen nach innen und nach außen, zum anderen die Frage nach dem wirtschaftlichen Nutzen. Der Nachweis der Wertschöpfungspotenziale ist eine enorme Herausforderung – vor allem da geeignete Metriken bislang weitgehend fehlen. Auf der anderen Seite sind die Sicherheitsbudgets in dieser Branche bislang von drastischen Kürzungen verschont geblieben, was ein grundsätzliches Bewusstsein für ihren Beitrag zur Wertschöpfung erkennen lässt“, kommentiert Dr. Carsten Schinschel, Partner Security&Privacy von Deloitte.
Internationaler Vergleich: EMEA im Mittelfeld
Nach geografischen Gesichtspunkten sowie Unternehmensart und -größe betrachtet positionieren sich asiatische Unternehmen in vielen Disziplinen oberhalb des internationalen Schnitts, z.B. bei der Existenz einer dokumentierten und geprüften Information-Security-Strategie. Unternehmen aus dem Nahen Osten liegen in fast allen Bereichen hinten. Der EMEA-Raum hingegen stellt nur in einem Punkt den Spitzenreiter, liegt aber nirgendwo deutlich unter dem Durchschnitt. Insgesamt sind große Unternehmen besser aufgestellt als kleine – die immer öfter zum Objekt von „Testangriffen“ durch Cyberkriminelle werden. Immerhin ein Viertel der Banken verfügt über Metriken zur Evaluierung der Sicherheitsinvestitionen, drei Viertel der Versicherungen bieten ihren Mitarbeitern Trainings zur Früherkennung verdächtigen Verhaltens an.
Schutz vor unkontrolliertem Zugriff auf Unternehmensinformationen
Die meisten der Befragten (44%) sehen als wichtigste Maßnahme die Installation eines wirksamen Zutritts- und Zugriffskontrollsystems (IAM-System). Dahinter folgen mit 39 Prozent der Schutz von Unternehmensdaten, 36 Prozent wollen ihre Security-Infrastruktur optimieren und 34 Prozent sehen Compliance mit ihren regulatorischen Vorgaben als die dringlichste Herausforderung. Auch die Kontrolle von Drittanbietern ist ein Problem: Knapp die Hälfte vertraut nur halbherzig auf die bestehenden Mechanismen. Immerhin verfügt mit etwa 80 Prozent die klare Mehrheit über einen Verantwortlichen für die Informationssicherheit in führender Position.
Angst vor der „Gefahr von innen“
Die hohe Priorität von IAM-Systemen (Identity Access Management) zeigt: Die Unternehmen sehen bei den eigenen Mitarbeitern ein größeres Gefahrenpotenzial als bei externen Angreifern. 42 Prozent der Befragten sind nur mäßig zufrieden mit den entsprechenden Maßnahmen in ihrem Unternehmen. Dabei fürchten sich die Verantwortlichen vor allem vor menschlichem Versagen. Abseits davon bereitet das hohe Niveau externer wie interner Angriffe Kopfzerbrechen. Gefahr Nr. 1 externer Attacken sind Botnetze. Wie hoch die finanziellen Schäden bereits erfolgter Angriffe sind, können viele Unternehmen allerdings nicht beziffern – nur etwas über die Hälfte verfügt über eine Loss-Event-Datenbank.
„Maximale Sicherheit verlangt nicht nur konkrete Einzelmaßnahmen, sondern auch Konvergenz – und anspruchsvolle Technologien. In puncto Konvergenz scheint eine neue Ära angebrochen zu sein. Erstmals geben fast 60 Prozent der Befragten an, sich mit speziellen Risikobewertungen, strukturellen Neuerungen, aber auch im Berichtswesen in diese Richtung zu bewegen. Zudem sind immer mehr Unternehmen bereit, neue Technologien zu einem deutlich früheren Zeitpunkt zu adaptieren – auch und als Folge der steigenden Finessen“, ergänzt Dr. Carsten Schinschel.
Über Deloitte
Deloitte erbringt Dienstleistungen aus den Bereichen Wirtschaftsprüfung, Steuerberatung, Consulting und Corporate Finance für Unternehmen und Institutionen aus allen Wirtschaftszweigen. Mit einem Netzwerk von Mitgliedsgesellschaften in mehr als 140 Ländern verbindet Deloitte erstklassige Leistungen mit umfassender regionaler Marktkompetenz und verhilft so Kunden in aller Welt zum Erfolg. „To be the Standard of Excellence“ – für rund 169.000 Mitarbeiter von Deloitte ist dies gemeinsame Vision und individueller Anspruch zugleich.
Die Mitarbeiter von Deloitte haben sich einer Unternehmenskultur verpflichtet, die auf vier Grundwerten basiert: erstklassige Leistung, gegenseitige Unterstützung, absolute Integrität und kreatives Zusammenwirken. Sie arbeiten in einem Umfeld, das herausfordernde Aufgaben und umfassende Entwicklungsmöglichkeiten bietet und in dem jeder Mitarbeiter aktiv und verantwortungsvoll dazu beiträgt, dem Vertrauen von Kunden und Öffentlichkeit gerecht zu werden.
Deloitte bezieht sich auf Deloitte Touche Tohmatsu, einen Verein schweizerischen Rechts, und/oder sein Netzwerk von Mitgliedsunternehmen. Jedes dieser Mitgliedsunternehmen ist rechtlich selbstständig und unabhängig. Eine detaillierte Beschreibung der rechtlichen Struktur von Deloitte Touche Tohmatsu und seiner Mitgliedsunternehmen finden Sie auf www.deloitte.com/de/UeberUns.
Pressemitteilung der Deloitte