CA-Studie: Nur fünf Prozent deutscher Unternehmen nutzen IT-Werkzeuge für den Schutz ihrer Daten

Ohne gutes Management sensibler Daten stehen Compliance, Markenwert und Wettbewerbsfähigkeit auf dem Spiel

(PresseBox) (Darmstadt, ) CA (NASDAQ: CA), der weltweit führende unabhängige Anbieter von IT-Management-Software, stellt die Ergebnisse einer europäischen IT-Sicherheits-Studie vor. Ergebnis: nur fünf Prozent der deutschen Unternehmen setzen Technologien zum Schutz vor Datenverlust (Data Loss Prevention, DLP) ein. Im Vergleich zum europäischen Durchschnitt von 28 Prozent - die Studie wurde in insgesamt 14 Ländern durchgeführt - liegt Deutschland damit auf dem zehnten Platz weit hinten. Wenn Unternehmen die sensiblen Daten innerhalb ihrer Organisation nicht identifizieren und vor Verlust oder Missbrauch schützen, laufen sie Gefahr, Richtlinien zu verletzen (Non- Compliance), ihrer Reputation zu schaden und ihre Wettbewerbsfähigkeit einzubüßen.

Die Studie mit dem Titel "You sent what? Linking Identity and Data Loss Prevention to avoid Damage to Brand, Reputation and Competitiveness" wurde vom Forschungsunternehmen Quocirca im Namen von CA durchgeführt. Befragt wurden Unternehmen in 14 Ländern, darunter Belgien, Dänemark, Deutschland, Finnland, Frankreich, Großbritannien, Irland, Israel, Italien, die Niederlande, Norwegen, Portugal, Schweden und Spanien.

Laut Studie haben IT-Abteilungen in Deutschland Probleme damit, Compliance- Anforderungen gerecht zu werden, so etwa beim Datensicherheitsstandard der Zahlungskarten-Industrie (Payment Card Industry Data Security Standard, PCI DSS) oder beim ISO-27001-Standard für Informationssicherheit. Interessanterweise sind sich die Verantwortlichen nicht darüber im Klaren, wie sie von technologischen Lösungen unterstützt werden könnten. Andere schaffen es nicht, das Unternehmensmanagement von den möglichen Risiken zu überzeugen, um die nötigen Investitionen zu rechtfertigen. Gleichzeitig erwarten viele deutsche Unternehmen, dass das Thema Datenschutz sie in den kommenden fünf Jahren treffen wird (auf einer Skala von 1 - wird stark abnehmen - bis 5 - wird stark zunehmen - gaben sie durchschnittlich 3,1 Punkte für die "Schwere des Problems").

Zu viele manuell durchzuführende Prozesse sowie Zeitmangel (auf einer Skala von 1 - überhaupt kein Problem - bis 5 - ein sehr großes Problem - mit respektive 3,1 und 2,8 Punkten bewertet) deuten darauf hin, dass IT-Manager Schwierigkeiten haben, Compliance-Richtlinien zu erfüllen. Der Großteil der befragten deutschen Unternehmen kreuzte deshalb auch eine "fehlende Compliance-Vision" an (2,9 Punkte). All diese Probleme könnten leicht gelöst werden, wenn die Organisationen ihre Daten effizienter im Blick behalten und kontrollieren würden. Doch dies scheint keine Priorität zu haben: Die Untersuchung ergab, dass deutsche Unternehmen die "Nachverfolgung der Datennutzung" mit 2,7 Punkten als nicht allzu großes Hindernis für Compliance einschätzten.

Während Malware immer noch die größte Sorge der IT-Sicherheitsmanager darstellt (auf einer Skala von 1 - überhaupt keine Gefahr - bis 5 - eine sehr große Gefahr - mit 3,6 Punkten bewertet, im Vergleich zum europäischen Durchschnitt von 2,9), wird dieser externen Gefahr üblicherweise mit Perimeter- Sicherheitslösungen und der Kontrolle der eingehenden Inhalte begegnet. Als weitere Hauptgefahren nannten die deutschen Teilnehmer die Nutzung der Daten innerhalb der Organisation: Internetnutzung (in Deutschland mit 3,2 von 5 Punkten bewertet und damit höher als in allen anderen Ländern außer Norwegen), E-Mail-Nutzung durch Angestellte (3,1), das Management sensibler Daten (3,1) und Aktivitäten sowohl interner als auch externer Nutzer (3,1). Alle Punkte hängen zusammen: Sie beziehen sich auf die gemeinsame Nutzung der Daten durch unterschiedliche Nutzer (oft über das Internet). Das zeigen die gut dokumentierten Vorfälle, bei denen sensible Daten verloren gingen.

Eine an Compliance orientierte Architektur (COA) könnte helfen, diese Datenverlust-Probleme zu mildern: Eine solche Architektur koppelt die Datennutzung aufgrund vorgegebener Richtlinien an Personen. COA wird definiert als "ein Set aus Richtlinien und Best-Practices, die sich, wo es möglich ist, auf Technologie stützen". COA vermindert die Wahrscheinlichkeit des Datenverlustes und stellt ein Audit-Verfahren zur Verfügung, das gegebenenfalls die Umstände eines Verstoßes feststellt.

Um effektiv zu sein, müssen drei grundlegende Elemente einer COA implementiert sein:

- Zum einen ist ein umfassendes Identitäts- und Zugangsmanagement notwendig, um Mitarbeiter mit ihren jeweiligen Rollen und Verantwortlichkeiten zu erfassen und ihre Zugriffsrechte entsprechend zu definieren und geltend zu machen (nur 5 Prozent der deutschen Unternehmen haben solche Lösungen implementiert). Zweitens gilt es, eine Funktionsfähigkeit zu verankern, die Daten lokalisiert und klassifiziert (59 Prozent geben an, über ein solches System zu verfügen). Das dritte COA-Element ist die DLP-Technologie, welche die Rollen und die Nutzung von Daten anhand von Richtlinien überprüft (nur 5 Prozent nutzen derzeit solche Lösungen). Viele der DLP-Tools automatisieren das zweite und dritte Element - wenn auch in unterschiedlichem Maße.

- Neben der Möglichkeit, Daten exakt aufzuspüren und zu klassifizieren, hilft der identitätszentrische Ansatz, die Nutzung der Daten im Geschäfts- Kontext zu überwachen: Auf Basis des Monitorings und der Prüfung von Informationen können vordefinierte Richtlinien geltend gemacht werden, die von den Rechten der beteiligten Individuen abhängen. Letztlich müssen Unternehmen die richtige Balance zwischen einem effektiven Schutz ihrer geschäftskritischen Informationen und der Einführung flexibler Sicherheitsmaßnahmen, die den Nutzern ein bestmögliches Agieren ermöglichen, zu finden.

- Da Gesetzgeber immer härtere Maßnahmen durchsetzen, werden DLPTools auch immer öfter zur Informationskontrolle verwendet. Damit wird eine zuverlässige Disziplin angestrebt, gleichzeitig soll abgeschreckt werden. Beispielsweise verwenden manche Organisationen DLP-Tools für eine tiefergehende Inhaltsanalyse, um Preis- und Submissionsabsprachen sowie Scheingeschäfte aufzudecken. Andere verwenden die Tools lediglich um sicherzustellen, dass nur die aktuellen Versionen öffentlicher Reports verteilt werden. DLP-Werkzeuge sind außerdem geeignet, Informationsnutzer zu schulen und einen bewussten Umgang mit Richtlinien im Unternehmen zu fördern. Das kann beispielsweise heißen, dass Nutzer gewarnt werden, wenn sie versuchen, auf Daten zuzugreifen, die nicht für ihre Rollenbeschreibung freigegeben sind und deren Nutzung somit gegen die Sicherheitsrichtlinien des Unternehmens verstoßen.

Eine COA muss nicht von Grund auf neu erfunden werden, sondern kann auf etablierten Standards für die Informationssicherheit basieren, etwa auf ISO 27001. Der weit verbreitete Mangel an IAM- und DLP-Technologien geht Hand in Hand mit einer niedrigen Einführungsrate des ISO-27001-Standards bei deutschen Unternehmen. Die Ergebnisse der Studie verdeutlichen den engen Zusammenhang zwischen beiden Fakten: Nur 27 Prozent der deutschen Unternehmen haben den Standard ISO 27001 bisher eingeführt.

Da immer mehr Unternehmen Cloud-Computing einsetzen, um Daten auf einer von Dritten verwalteten Infrastruktur zu verarbeiten und zu speichern, wird es noch wichtiger, Sicherheitsrichtlinien auf der Datenebene anzuwenden. Die CAStudie zeigt, dass IT-Sicherheit einer der Hauptfaktoren bei der Einführung von Cloud-Computing in deutschen Unternehmen ist (mit 3,7 Punkten auf einer Skala von 1 - unwichtig - bis 5 - sehr wichtig). DLP-Tools helfen zu verstehen, wie sensibel bestimmte Daten sind. Sie ermöglichen es, in Echtzeit Entscheidungen zu treffen, was in einer Cloud-Umgebung verarbeitet und gespeichert werden darf und was nicht. Unternehmen sollten von ihren Mitarbeitern nicht erwarten, dass sie all diese Sachverhalte verstehen. Möglicherweise ist ihnen nicht einmal bewusst, was das Kopieren eines Dokuments von einem Ort zu einem anderen bedeutet: Es kann sehr gut sein, dass sie das Dokument von einem intern verwalteten Bereich auf die Infrastruktur eines Drittanbieters legen.

"Die CA-Studie weist klar und rechtzeitig nach, dass deutsche Unternehmen DLPTechnologie benötigen, um ihren Compliance-Anforderungen gerecht zu werden, ihren Markenwert zu schützen und ihre Wettbewerbsfähigkeit zu steigern", sagt Shirief Nosseir, EMEA Security Product Marketing Director bei CA. "Da die Netzwerkgrenzen immer weiter verschwimmen, ist es klar, dass Daten während ihres gesamten Lebenszyklus gesichert werden müssen. Es genügt nicht, nur die Netzwerk-Assets zu schützen. Informationen müssen verstanden und klassifiziert sowie mit Richtlinien beschrieben werden, die festlegen, wer sie wie nutzen darf. Unternehmen die DLP mit IAM verknüpfen, erhalten die richtige Kombination, um geschäftskritische Informationen aufzuspüren, zu überwachen und zu kontrollieren, wo immer sie sich befinden. Gleichzeitig stellen sie sicher, dass Informationen nur von den richtigen Individuen auf die richtige Art und Weise, also entsprechend ihrer Rollen und Privilegien, genutzt werden. Mit der Ausbreitung sensibler Daten über die Unternehmen hinweg, erlaubt es die Kombination aus DLP und IAM, den dringend benötigten Ansatz zu realisieren: das Prinzip einer restriktiven Rechtevergabe auf der Datenebene selbst durchzusetzen."

Bob Tarzey, Analyst und Director bei Quocirca Ltd. kommentiert: "Der aktuelle Datenmissbrauch bei bekannten Unternehmen zeigt, dass elektronisch gespeicherte Daten oft ungenügend gepflegt werden. Dieses Fehlverhalten ist kostspielig, nicht nur aufgrund der hohen Bußgelder, die Behörden derzeit verlangen, sondern auch durch den Verlust der Reputation und der Wettbewerbsvorteile, die sich daraus ergeben. Die Technologien, mit denen die Nutzung von Daten mit den zugehörigen Richtlinien verknüpft wird, stehen heute schon zur Verfügung. Das ermöglicht es, eine auf Compliance orientierte Architektur aufzubauen, die auf weit anerkannten Informations- Sicherheitsstandards wie ISO 27001 beruht. Unternehmen aus Deutschland können damit den gemeinsamen Zugriff auf Informationen absichern - sowohl intern als auch extern. Das kommt sowohl den Geschäftsprozessen als auch der Datenverwaltung zugute."

Untersuchungsmethode

Die Recherche für "Identitätszentrischer Schutz vor Datenverlust - Wie man den Schaden an Marke, Reputation und Wettbewerbsfähigkeit durch Datenverlust und missbrauch verhindert" wurde von Quocirca durchgeführt, einem führenden Forschungs- und Analyse-Unternehmen, das sich auf die Untersuchung des Einflusses von Informationsund Telekommunikations-Technologien auf die Geschäftswelt spezialisiert hat. Insgesamt wurden in der zweiten Jahreshälfte 2009 270 Interviews in 14 Ländern geführt, darunter Belgien, Dänemark, Deutschland, Finnland, Frankreich, Großbritannien, Irland, Israel, Italien, die Niederlande, Norwegen, Portugal, Schweden und Spanien. Die Interviews wurden mit IT-Direktoren, leitenden IT-Security-Managern und anderen ITFührungskräften aus vier Branchen durchgeführt: Telekommunikation und Medien, Fertigung, Finanzen und öffentliche Verwaltung.

Die Studie finden Sie im Internet unter www.ca.com/gb/mediaresourcecentre

Über Quocirca:

Quocirca Ltd. ist ein Forschungs- und Analyse-Unternehmen mit Hauptfokus auf dem europäischen Markt. Das Unternehmen entwickelt für den Markt kostenlose Studien, die sich an IT-Entscheider und Meinungsmacher in Unternehmen jeder Größe und in der öffentlichen Verwaltung richten.

CA Deutschland GmbH

CA (NASDAQ: CA) ist ein Anbieter von IT-Management-Software und -Lösungen mit Expertise über alle IT-Umgebungen hinweg - vom Mainframe über physische und virtuelle Umgebungen bis hin zur Cloud. CA verwaltet und sichert IT-Umgebungen und ermöglicht es so Unternehmen, flexiblere IT-Dienste zu liefern. CAs innovative Produkte und Services ermöglichen den Einblick und die Kontrolle, die IT-Organisationen benötigen, um ihren Geschäftsprozessen die nötige Agilität zu verleihen. Die Mehrheit der Global Fortune 500-Unternehmen vertraut auf CA, um ihre sich kontinuierlich entwickelnden IT-Systeme zu steuern. Weitere Informationen finden Sie unter www.ca.com/de. Folgen Sie unserem deutschsprachigen Twitterfeed unter www.twitter.com/CA_D_A_CH.

Copyright © 2010 CA. Alle Rechte vorbehalten. Alle erwähnten Marken, Dienstleistungsmarken und Logos sind für die entsprechenden Firmen rechtlich geschützt und unterliegen dem Urheberrecht sowie auch anderen Gesetzen zum Schutz des geistigen Eigentums.

Sie suchen nach Fachartikeln, Backgroundern, Top-Ten-Listen? Fündig werden Sie unter http://ca.com/....

Diese Pressemitteilungen könnten Sie auch interessieren

News abonnieren

Mit dem Aboservice der PresseBox, erhalten Sie tagesaktuell und zu einer gewünschten Zeit, relevante Presseinformationen aus Themengebieten, die für Sie interessant sind. Für die Zusendung der gewünschten Pressemeldungen, geben Sie bitte Ihre E-Mail-Adresse ein.

Es ist ein Fehler aufgetreten!

Vielen Dank! Sie erhalten in Kürze eine Bestätigungsemail.


Ich möchte die kostenlose Pressemail abonnieren und habe die Bedingungen hierzu gelesen und akzeptiert.