Business-IT
Durchschnittliche Sicherheit in Finanzbranche
von
Jannis
Moutafis - 11.06.2010
Ein neuer Bericht des Finanzdienstleisters Deloitte ermahnt der Branche, mit den ständig steigenden Bedrohungen Schritt zu halten und für den Cyberkrieg aufzurüsten.
Gestiegen sind auch die Anforderungen. Erstmals stehen mit Zutrittskontrollsystemen kostenintensive Präventionsinstrumente ganz oben auf der Prioritätenliste, noch vor Programmen zum Schutz sensibler Unternehmensdaten. Eine wirklich wirksame Sicherheitsstrategie setzt jedoch die Verbindung von Security- und Geschäftszielen voraus — doch hieran mangelt es bei der Mehrheit der Unternehmen offenbar immer noch deutlich, so der Report. Im internationalen Vergleich sind europäische Unternehmen eigenen Einschätzungen zufolge am besten gegen die vielfältigen Gefahren gerüstet. Auch die Zufriedenheit mit den materiellen Ressourcen liegt über dem internationalen Durchschnitt. Länderübergreifend teilen jedoch nahezu alle Unternehmen und Organisationen der Finanzbranche die Sorge um die „innere Bedrohung“.
„Zwei Elemente sind von herausragender Bedeutung“, erklärt Dr. Carsten Schinschel, Partner Security&Privacy von Deloitte: Zum einen die Effizienz von Sicherheitssystemen nach innen und nach außen, zum anderen die Frage nach dem wirtschaftlichen Nutzen. Der Nachweis der Wertschöpfungspotenziale sei eine enorme Herausforderung. Auf der anderen Seite seien die Sicherheitsbudgets in dieser Branche bislang von drastischen Kürzungen verschont geblieben, was ein grundsätzliches Bewusstsein für ihren Beitrag zur Wertschöpfung erkennen lässt.
Nach geografischen Gesichtspunkten sowie Unternehmensart und -größe betrachtet positionieren sich asiatische Unternehmen in vielen Disziplinen oberhalb des internationalen Schnitts, zum Beispiel bei der Existenz einer dokumentierten und geprüften Strategie für die Informationssicherheit. Unternehmen aus dem Nahen Osten liegen in fast allen Bereichen hinten. Der EMEA-Raum hingegen stellt nur in einem Punkt den Spitzenreiter, liegt aber nirgendwo deutlich unter dem Durchschnitt.
Insgesamt sind große Unternehmen besser aufgestellt als kleine — die immer öfter zum Objekt von „Testangriffen“ durch Cyberkriminelle werden. Immerhin ein Viertel der Banken verfügt über Metriken zur Evaluierung der Sicherheitsinvestitionen, drei Viertel der Versicherungen bieten ihren Mitarbeitern Trainings zur Früherkennung verdächtigen Verhaltens an.
Die meisten der Befragten (44 Prozent) sehen als wichtigste Maßnahme die Installation eines wirksamen Zutritts- und Zugriffskontrollsystems (IAM-System). Dahinter folgen mit 39 Prozent der Schutz von Unternehmensdaten, 36 Prozent wollen ihre Security-Infrastruktur optimieren und 34 Prozent sehen Compliance mit ihren regulatorischen Vorgaben als die dringlichste Herausforderung. Auch die Kontrolle von Drittanbietern ist ein Problem: Knapp die Hälfte vertraut nur halbherzig auf die bestehenden Mechanismen. Immerhin verfügt mit etwa 80 Prozent die klare Mehrheit über einen Verantwortlichen für die Informationssicherheit in führender Position.
Die hohe Priorität von IAM-Systemen (Identity Access Management) zeigt, dass die Unternehmen bei den eigenen Mitarbeitern ein größeres Gefahrenpotenzial als bei externen Angreifern sehen, folgern die Autoren der Studie. 42 Prozent der Befragten sind nur mäßig zufrieden mit den entsprechenden Maßnahmen in ihrem Unternehmen. Dabei fürchten sich die Verantwortlichen vor allem vor menschlichem Versagen. Abseits davon bereitet das hohe Niveau externer wie interner Angriffe Kopfzerbrechen. Gefahr Nr. 1 externer Attacken sind Botnetze. Wie hoch die finanziellen Schäden bereits erfolgter Angriffe sind, können viele Unternehmen allerdings nicht beziffern — nur etwas über die Hälfte verfügt über eine Loss-Event-Datenbank.
„Zwei Elemente sind von herausragender Bedeutung“, erklärt Dr. Carsten Schinschel, Partner Security&Privacy von Deloitte: Zum einen die Effizienz von Sicherheitssystemen nach innen und nach außen, zum anderen die Frage nach dem wirtschaftlichen Nutzen. Der Nachweis der Wertschöpfungspotenziale sei eine enorme Herausforderung. Auf der anderen Seite seien die Sicherheitsbudgets in dieser Branche bislang von drastischen Kürzungen verschont geblieben, was ein grundsätzliches Bewusstsein für ihren Beitrag zur Wertschöpfung erkennen lässt.
Nach geografischen Gesichtspunkten sowie Unternehmensart und -größe betrachtet positionieren sich asiatische Unternehmen in vielen Disziplinen oberhalb des internationalen Schnitts, zum Beispiel bei der Existenz einer dokumentierten und geprüften Strategie für die Informationssicherheit. Unternehmen aus dem Nahen Osten liegen in fast allen Bereichen hinten. Der EMEA-Raum hingegen stellt nur in einem Punkt den Spitzenreiter, liegt aber nirgendwo deutlich unter dem Durchschnitt.
Insgesamt sind große Unternehmen besser aufgestellt als kleine — die immer öfter zum Objekt von „Testangriffen“ durch Cyberkriminelle werden. Immerhin ein Viertel der Banken verfügt über Metriken zur Evaluierung der Sicherheitsinvestitionen, drei Viertel der Versicherungen bieten ihren Mitarbeitern Trainings zur Früherkennung verdächtigen Verhaltens an.
Die meisten der Befragten (44 Prozent) sehen als wichtigste Maßnahme die Installation eines wirksamen Zutritts- und Zugriffskontrollsystems (IAM-System). Dahinter folgen mit 39 Prozent der Schutz von Unternehmensdaten, 36 Prozent wollen ihre Security-Infrastruktur optimieren und 34 Prozent sehen Compliance mit ihren regulatorischen Vorgaben als die dringlichste Herausforderung. Auch die Kontrolle von Drittanbietern ist ein Problem: Knapp die Hälfte vertraut nur halbherzig auf die bestehenden Mechanismen. Immerhin verfügt mit etwa 80 Prozent die klare Mehrheit über einen Verantwortlichen für die Informationssicherheit in führender Position.
Die hohe Priorität von IAM-Systemen (Identity Access Management) zeigt, dass die Unternehmen bei den eigenen Mitarbeitern ein größeres Gefahrenpotenzial als bei externen Angreifern sehen, folgern die Autoren der Studie. 42 Prozent der Befragten sind nur mäßig zufrieden mit den entsprechenden Maßnahmen in ihrem Unternehmen. Dabei fürchten sich die Verantwortlichen vor allem vor menschlichem Versagen. Abseits davon bereitet das hohe Niveau externer wie interner Angriffe Kopfzerbrechen. Gefahr Nr. 1 externer Attacken sind Botnetze. Wie hoch die finanziellen Schäden bereits erfolgter Angriffe sind, können viele Unternehmen allerdings nicht beziffern — nur etwas über die Hälfte verfügt über eine Loss-Event-Datenbank.
