Es gibt viel zu tun für Security-Diensleister: Laut einer Forrester-Studie investieren Kunden zu wenig in den Schutz ihrer Betriebsgeheimnisse, und wenn sie es tun, dann erstrecken sich diese Aktivitäten und auf die Erfüllung der Mindeststandards aus den gesetzlichen Vorgaben ("Compliance"). Die Umfrage unter 305 für IT-Sicherheit verantwortlichen Entscheidungsträgern weltweit wurde im Auftrag von Microsoft und RSA, der Sicherheitsabteilung von EMC, durchgeführt. Fast 90 Prozent der von Forrester befragten Unternehmen gaben an, dass Compliance-Vorgaben mit PCI-DSS (Payment Card Industry Data Security Standard) und Datenschutzregeln, sowie der Schutz vor Sicherheitslücken im Zentrum ihrer Vorkehrungen stehen. 39 Prozent des Unternehmensetats werden dafür ausgegeben. Nach Berechnungen von Forrester bestehen 62 Prozent des Gesamtwerts an Informationen aus Betriebsgeheimnissen, während Compliance-bezogene externe Daten nur 38 Prozent ausmachen. Compliance in all seinen Formen hat zwar dabei geholfen, die Sicherheitsausstattung zu verbessern, aber es hat vom traditionellen Schwerpunkt abgelenkt, den Schutz der Betriebsgeheimnisse, so das Fazit der Forrester-Studie. "Unternehmen investieren vorbildlich in die Sicherheit von Kunden- und Kontodaten, jedoch sollten sie mehr Wert auf den Schutz ihres geistigen Eigentums und der für ihre Organisation wichtigen Daten legen", sagt Sam Curry Marketier und Cheftechniker bei RSA. "Der Verlust geistigen Eigentums kann langfristige Schäden für die Wettbewerbsfähigkeit nach sich ziehen." Diebstahl kommt teurer als zufälliger Verlust Die Forrester-Studie ergab ferner, dass der Diebstahl von Informationen durch interne oder externe Mitarbeiter einem Unternehmen etwa zehnmal teurer zu Stehen kommt als der unabsichtliche Verlust von Daten durch Sicherheitslücken. "Das Risiko durch Insider sowie die Gefahren durch Diebstahl und Datenverlust nehmen stetig zu", meint Tom Köhler, Director Security Strategy & Communication bei Microsoft Deutschland. "Dies bedeutet, je mehr ein Unternehmen an Informationswerten verlieren kann, desto höher ist die Gefahr krimineller Aktivitäten." Maßnahmen für mehr Informationssicherheit Unabhängig von der Bandbreite an wichtigen Informationen, Sicherheitsausgaben oder der Anzahl von Vorfällen, haben fast alle Unternehmen ihre Kontrollen als fast gleich effektiv eingeschätzt. Gemäß der Studie wissen die meisten jedoch nicht, ob ihre Datensicherheitsvorkehrungen tatsächlich funktionieren, außer durch die reine Zählung der Vorfälle. Forrester, Microsoft und RSA haben daher in der Studie einige Empfehlungen zusammengestellt, mit deren Hilfe Security-Reseller ihren Kunden helfen können, ihre Informationssicherheitsstrategie ausgewogen zu gestalten können. Zu den wichtigsten Maßnahmen zur Sicherung der Informationen gehören: Identifizierung der wertvollsten Informationen im Unternehmen Aufbau eines Risikoregisters mit spezifischen Bedrohungsszenarien Einschätzung und Neubewertung der Balance zwischen Compliance und Schutz von Betriebsgeheimnissen Erhöhte Aufmerksamkeit bei externen Geschäftsbeziehungen Messung der Effektivität genutzter Datensicherheitsprogramme (rw)