Studie Mobile Security, Teil 2

Die größten Defizite der Unternehmen

19.06.2015
Von 
Wolfgang Herrmann ist IT-Fachjournalist und Editorial Lead des Wettbewerbs „CIO des Jahres“. Der langjährige Editorial Manager des CIO-Magazins war unter anderem Deputy Editorial Director der IDG-Publikationen COMPUTERWOCHE und CIO sowie Chefredakteur der Schwesterpublikation TecChannel.
Im zweiten Teil unserer Serie "Mobile Security 2015" erfahren Sie, woran es deutschen Unternehmen mangelt, um Sicherheitsrisiken wirksam einzudämmen. Befragt wurden dazu mehr als 600 IT- und Business-Verantwortlichen aus deutschen Unternehmen.

Vielen Unternehmen fehlt es an spezifischen Mobile-Kenntnissen und -Erfahrungen. Hinzu kommen Defizite in Sachen Organisation und Prozesse, die einem effizienten Security-Management entgegenstehen. In den Budgets und Sicherheitskonzepten etwa spielen mobile Aspekte häufig keine Rolle.

Zu diesen Ergebnissen kommt unserer Schwesterpublikation TecChannel in der Studie "Mobile Security 2015". Mehr als 600 Experten aus großen, mittleren und kleineren Unternehmen beteiligten sich an einer Online-Umfrage in Kooperation mit den Security-Spezialisten Baramundi Software, Kobil Systems, mediaTest digital und TüV Nord.

(--> Lesen Sie auch den ersten Teil "Unternehmen unterschätzen die Risiken")

Mobile-Security-Kenntnisse

Ihre allgemeinen Security-Kenntnisse schätzen die Befragten relativ hoch ein. Spezifisches Wissen und Erfahrungen zu mobilen Aspekten fehlen aber häufig.

• 49,7 Prozent der Befragten bescheinigen sich selbst gute oder sehr gute theoretische Kenntnisse in Sachen Datenschutz und Datensicherheit. Am anderen Ende der Skala ist das Wissen in Sachen Fraud Prevention (Betrugsprävention) mit 5,8 Prozent besonders schwach ausgeprägt.

• 64,6 Prozent: Insbesondere Umfrageteilnehmer auf Geschäftsleitungsebene stufen ihre Datenschutzkenntnisse als gut oder sehr gut ein.

• Die Kenntniswerte bei den Themen App-AGB (8,4 Prozent) und App Risk Management (9 Prozent) fallen insgesamt besonders niedrig aus.

• 23,2 Prozent verfügen auf keinem der vorgegebenen Security-Gebiete über gute Kenntnisse. Auch unter den Befragten aus IT-Abteilungen liegt der Wert noch bei 22,1 Prozent.

• Gut ein Drittel der Befragten (34 Prozent) kennt sich eigenen Angaben zufolge mit dem Schlüsselthema Identitätsmanagement und Authentifizierung aus.

Erfahrungen mit Mobile Security

• Die praktischen Erfahrungen in Sachen Security korrespondieren mit den theoretischen Kenntnissen. Am häufigsten kommen Unternehmen mit dem Thema Datenschutz und Datensicherheit in Berührung (57 Prozent). Auf der Ebene der Geschäftsleitung liegt der Wert mit 69,2 Prozent überdurchschnittlich hoch.

• Die wenigsten praktischen Erfahrungen sammelten Unternehmen bislang im Bereich Fraud Prevention (Betrugsprävention).

• Nur 10,2 Prozent der Befragten haben Erfahrungen mit App-AGBs und damit verbundenen Datenschutzbestimmungen. Im Bereich App Risk Management liegt der Wert bei 11,5 Prozent.

• 40 Prozent der Unternehmen haben Erfahrung mit Identitätsmanagement und Authentifizierung. Unter den größeren Firmen ist es mehr als die Hälfte (50,8 Prozent).

App-Auswahl: Funktionen, Usability und Security zählen

Funktionalität geht über alles, wenn es um die App-Auswahl in Unternehmen geht.

  • Für fast 70 Prozent ist Funktionalität das entscheidende Kriterium bei der App-Auswahl. Usability spielt für 42 Prozent eine bedeutende Rolle. Besonders wichtig ist der Usability-Aspekt Teilnehmern auf Geschäftsleitungsebene (50,8 Prozent).

  • Sicherheits-Features beziehungsweise ein erkennbares Sicherheitskonzept sind für weniger als die Hälfte (46,9 Prozent) der Befragten ein entscheidendes Auswahlkriterium. Einen höheren Stellenwert hat das Thema in Unternehmen mit mehr als 1.000 Mitarbeitern (56 Prozent).

  • Sicherheitszertifikate für Apps sind nur für 29,3 Prozent der Befragten besonders wichtig.

  • Bewertungen im jeweiligen App Store spielen bei der Auswahl mit 7,6 Prozent kaum eine Rolle. Aber: Eine fundierte Bewertung oder Einschätzung eines spezialisierten Dienstleisters halten immerhin 16,6 Prozent für ausschlaggebend.

Budgets für Mobile Security sind die Ausnahme

Das Thema Mobile Security ist nur in den wenigsten Fällen mit einem dedizierten Budget unterlegt.

  • 56,3 Prozent der Unternehmen haben kein explizites Budget für IT-Security. Unter den kleineren Firmen liegt der Wert sogar bei 66,2 Prozent; Unternehmen mit mehr als 1.000 Mitarbeitern verzichten zu 30 Prozent auf ein Sicherheitsbudget.

  • Nur 10,5 Prozent der kleineren und 16 Prozent der größeren Unternehmen arbeiten mit einem expliziten Budget für Mobile Security.

  • 23,5 Prozent der KMUs verfügen zumindest über ein allgemeines Budget für den Bereich IT-Security. Bei den Großunternehmen liegt der Wert bei 55,4 Prozent.

  • Auffällig: 70,8 Prozent der Umfrageteilnehmer auf Geschäftsleitungsebene gaben an, es gebe kein explizites Budget für IT Security.

Security-Konzepte ohne Mobile-Schwerpunkte

Mobilthemen sind in den Security-Konzepten der Unternehmen nur schwach verankert.

  • Die gute Nachricht: Nur zehn Prozent der Befragten sehen in ihrem Unternehmen kein IT-Sicherheitskonzept. Die schlechte: Knapp ein Viertel (24,9 Prozent) berichtet von einem Sicherheitskonzept mit keinen oder nur wenigen mobilen Aspekten.

  • Ein "sehr umfassendes IT-Sicherheitskonzept" weisen 25,9 Prozent der Unternehmen aus. Unter den größeren Organisationen liegt der Wert bei 41,7 Prozent, deutlich niedriger in kleineren Betrieben (19,7 Prozent).

  • Gut ein Drittel der Umfrageteilnehmer gibt an, es gebe ein Sicherheitskonzept mit "einzelnen mobilen Sicherheitsaspekten".