Die Sicherheitslage in Bezug auf mobile Technologien hat sich gegenüber der IDC Studie aus dem Jahr 2015 weiter verschärft. Auch die Datenschutz-Grundverordnung wirft ihren Schatten voraus, drei Viertel der befragten Unternehmen bereiten sich nach eigenen Angaben derzeit auf die neuen Datenschutzvorgaben vor. Dabei wird es auch entscheidend sein, kreativere Wege bei der Anwendersensibilisierung zu beschreiten. Denn laut 52 Prozent der IT-Verantwortlichen geht von den Anwendern eine größere Gefahr aus als von Cyber-Kriminellen. Dass in jedem zweiten Unternehmen mobile Apps in den Fachbereichen von Mitarbeitern selbst entwickelt werden, verdeutlicht das Spannungsfeld aus Business Enablement auf der einen und Absicherung auf der anderen Seite, in dem IT-Entscheider agieren. Dies sind einige der Highlights der neuen IDC Studie „Mobile Security in Deutschland 2017“.
Mobile Technologien sind ein entscheidender Innovationsmotor bei der digitalen Transformation von Unternehmen. Durch die zunehmende Mobilisierung von Geschäftsprozessen und die Erschließung neuer Mobility Use Cases werden Smart Devices zu noch wertvolleren Informationsträgern und -mittlern, die allerdings auch stärker in das Fadenkreuz von Cyber-Kriminellen rücken.
Um Einblicke in die Herausforderungen, Lösungsansätze und Erfolgsfaktoren bei der Absicherung der mobilen IT zu erhalten, hat IDC eine Studie zu Mobile Security aus dem Jahr 2015 neu aufgelegt und im Dezember 2016 256 IT-Entscheider und Anwender aus Unternehmen mit mehr als 100 Mitarbeitern in Deutschland befragt. Die wichtigsten Ergebnisse werden im Folgenden zusammengefasst.
Sicherheitslage hat sich gegenüber 2015 weiter verschärft
65 Prozent der befragten Unternehmen berichten von Erfahrungen mit Angriffen auf mobile Endgeräte, das ist ein Anstieg um 8 Prozentpunkte gegenüber 2015 – die Dunkelziffer an unentdeckten Vorfällen nicht berücksichtigt. Immer mehr Firmen stellen fest: Je intensiver sie Smartphones, Tablets & Co. für das Business Enablement ihrer Mitarbeiter einsetzen, desto wichtiger wird deren Absicherung. Aus Sicht von IDC muss die Durchsetzung der Mobile Security daher zu einem zentralen Eckpfeiler der IT-Security-Architektur einer digitalen Organisation werden.
Darüber hinaus ist das auch aus finanziellen Gesichtspunkten erforderlich. Strafzahlungen, Anwaltskosten, Personaleinsätze oder Geschäftsverluste treiben Kosten durch Sicherheitsbrüche in die Höhe. 26 Prozent der Unternehmen erlitten im vergangenen Jahr einen Schaden von mehr als 100.000 Euro durch Sicherheitsvorfälle mit mobilen Technologien.
Hinzu kommen nicht-finanzielle Schäden hinsichtlich Reputation und Vertrauen, die Kunden oftmals hartnäckig im Gedächtnis bleiben. Ein Nichthandeln hat für Unternehmen somit verheerende Konsequenzen. IT-Entscheider sollten sich nicht länger hinter vermeintlich zu hohen Investitionskosten für Mobile-Security-Lösungen verstecken.
Deutschland ist Datenschutzland: Drei Viertel aller Unternehmen bereiten sich auf die EU-Datenschutz-Grundverordnung (DSGVO) vor
Durch die neue Datenschutz-Grundverordnung (engl. GDPR) kann es für Unternehmen bei zukünftigen Sicherheitsbrüchen noch teurer als bislang werden. Nach der Übergangsfrist Ende Mai 2018 können Datenschutzbehörden Bußgelder von maximal 20 Mio. Euro oder 4 Prozent des globalen Umsatzes erheben.
„Durch die DSGVO stehen Verletzungen im Datenschutz auf einer Stufe mit Bußgeldern für Geldwäsche oder Korruption“, erläutert Mark Alexander Schulte, Senior Consultant und Projektleiter der Studie. „Auch die Meldepflicht von Sicherheitsbrüchen wird aus unserer Sicht dazu führen, dass sich die Gewährleistung des Datenschutzes von einer IT-Aufgabe zu einem Thema der Vorstandsetagen entwickeln und Security-Investitionen massiv antreiben wird.“
Die befragten Firmen äußern sich durchaus optimistisch im Hinblick auf die Einhaltung des Anwendungsdatums. 74 Prozent bereiten sich derzeit auf die Umsetzung der DSGVO vor, bei nur 5 Prozent der IT-Entscheidern ist das Thema noch nicht präsent.
Die Ergebnisse unterstreichen damit den traditionell hohen Stellenwert des Datenschutzes in deutschen Unternehmen. Dennoch: Aus Sicht von IDC unterschätzen nicht wenige IT-Verantwortliche die Veränderungen, die sich durch die DSGVO ergeben. Die neue Datenschutzverordnung erfordert durch das „Data Protection by Design and by Default“-Prinzip ein deutlich proaktiveres Handeln, das bereits bei der Entstehung von personenbezogenen Daten ansetzt und darauf basierend geeignete Prozesse und Technologien auch im Bereich der Mobile Security erfordert. Vor diesem Hintergrund sollten Unternehmen nicht zögern, in rechtliche Beratung, erforderliche Trainings und Zertifizierungen zu investieren.
Aus Sicht der befragten Organisationen sind die Einschränkung des Datenzugriffs, angepasste Sicherheits-Policies und klar geregelte Verantwortlichkeiten die wirksamsten Maßnahmen, um DSGVO-konform zu werden und mit diesen Maßnahmen mehr Kontrolle und Transparenz über die Verwendung von Firmeninformationen zu erhalten. Die Rolle der Anwender sollte allerdings nicht unterschätzt werden. Aus Sicht von IDC werden diejenigen Unternehmen am besten vorbereitet sein, die es schaffen, ihre Anwender umfassend für das neue Datenschutzrecht zu sensibilisieren.
Sicherheitsrisiko: Anwender
Für Fachbereichsmitarbeiter ist der mobile Zugriff auf personenbezogene Informationen ein wesentlicher Produktivitätsfaktor geworden. CRM-Anwendungen zählten beispielsweise zu den ersten Apps, die mobil bereitgestellt wurden, um Vertriebsmitarbeiter besser zu unterstützen und Prozesse zu verkürzen. Im Durchschnitt können 30 Prozent der Mitarbeiter eines Unternehmens über ein Smart Device auf Kundendaten zugreifen. Demgegenüber kennt gerade einmal die Hälfte aller Anwender die Inhalte der Datenschutz-Grundverordnung, beispielsweise im Hinblick auf die Konsequenzen einer Weitergabe personenbezogener Daten. Falls Unternehmen hier nicht handeln, sind Probleme bei der Einhaltung der DSGVO bereits vorprogrammiert.
Viele Organisationen haben es bislang nicht geschafft, das Sicherheitsrisiko durch Anwender in den Griff zu bekommen. Wie auch in der Befragung von 2015 gehen 45 Prozent der Sicherheitsvorfälle im Umgang mit mobiler Technologie auf das Konto der Fachbereichsmitarbeiter.
Das Fehlverhalten der Anwender, wie etwa durch die Reaktion auf Phishing-Mails, Downloads unsicherer Apps oder Geräteverluste hat auch in den letzten Monaten wieder Tür und Tor zu Firmendaten für Externe geöffnet. Die Häufigkeit der Sicherheitsverfehlungen führt dazu, dass nach Angaben von 52 Prozent der IT-Entscheider von den unternehmensinternen Anwendern sogar eine größere Gefahr als von Cyber-Kriminellen ausgeht.
IDC ist davon überzeugt, dass das bloße Aufstellen von Richtlinien oder Verboten zu kurz greift und die Anwender nicht erreicht. Die Firmen müssen neue, kreativere Wege gehen, um Fachbereichsmitarbeiter für den sicheren Umgang mit mobilen Endgeräten, Apps und Daten zu sensibilisieren. Hierzu könnten Live-Hacks, gefakte Phishing Mails zählen oder auch Gutscheine für besonders auf Sicherheit bedachte Mitarbeiter ausgelobt werden. Als übergeordneten Rahmen aber bedarf es in jedem Fall einer Mobile Security Policy, die aktuell, praxisnah und vor allem durchsetzbar ist.
Rapid Mobile App Development: IT-Entscheider im Zwiespalt zwischen Entlastung und Sicherheitsbedenken
Trotz der Herausforderungen spielen Fachbereiche durch dezentrale Mobility-Budgets und einfach zu nutzenden Tools für die App-Entwicklung eine immer wichtigere Rolle in der Enterprise-Mobility-Strategie. Rapid Mobile App Development Tools erfordern wenig bis gar keine Programmierkenntnisse, da ihre Entwicklungsinterfaces auf graphischen Elementen basieren. Die Fachbereiche können somit mobile Apps selbst erstellen – mit oder ohne Einbindung der IT – und auf diese Weise Dienste schneller und bedarfsgerechter bereitstellen. In bereits knapp der Hälfte der befragten Organisationen werden mobile Apps in Fachbereichen entwickelt.
Aus Sicht von IDC ist es die Schnelligkeit, Relevanz und Entlastung der IT betreffend eine vielversprechende Idee, dass Fachbereiche ihre eigenen Apps entwickeln. „Allerdings darf durch die Verwirklichung einer in dieser Weise ausgestalteten ‚Mobile First‘-Strategie nicht ‚Security Second‘ die Folge sein,“ mahnt Mark Schulte. „Denn dass Mitarbeiter ohne Programmierkenntnisse, Erfahrungen mit Sicherheitskonzepten, Kenntnissen über gesetzliche Vorgaben Apps bauen, ist ohne ein adäquates Security Framework ein Albtraum für die IT.“
Doch die Ergebnisse zeigen: Auch, wenn IT-Entscheider in Zukunft große Sicherheitsherausforderungen erwarten (63 Prozent Zustimmung), sehen sie – und das interessanterweise häufiger als ihre Fachbereichskollegen – deutliche Vorteile wie Schnelligkeit bei der App-Bereitstellung (58 Prozent) oder Entlastung der IT (57 Prozent). Dies zeigt: Wenn die Sicherheit der Fachbereichs-Apps entlang des Application Lifecycles z. B. durch die Integration in MADP und EMM-Tools gewährleistet wird, wird sich der Trend der dezentralen App-Entwicklung weiter fortsetzen.
Fazit: Die Sicherstellung der Security und Compliance zählt für deutsche Unternehmen zu den wichtigsten Mobility-Handlungsfeldern in 2017. Die wachsende Anzahl an Smart Devices, schwierig zu sensibilisierende Anwender, App-entwickelnde Fachbereiche, eine hohe Innovationsdynamik und neue Datenschutzvorschriften erschweren und erfordern zugleich starke Sicherheitsmaßnahmen für mobile Geräte, Apps und Firmendaten.
Im Vergleich zur IDC-Mobile-Security-Studie aus dem Jahr 2015 gehen Unternehmen die Absicherung ihrer mobilen IT deutlich gereifter an. Aus dem „Mobile Laissez Faire“ ist vorausschauendes Handeln, zum Beispiel in Hinblick auf die DSGVO, geworden.
Die meisten IT-Entscheider erkennen: Je intensiver sie durch mobile Technologien das Business unterstützen, desto wichtiger wird deren Absicherung. Dies wird sich in steigenden Ausgaben für Mobile-Security-Lösungen bemerkbar machen, denen IDC ein durchschnittliches Wachstum von 11 Prozent pro Jahr bis 2020 in Deutschland prognostiziert. Doch allein mit Technologie werden es Unternehmen nicht schaffen, mobile Geräte, Apps und Firmendaten ganzheitlich zu schützen. Der Schlüssel zu einer umfassenden mobilen Sicherheit ist es, die Anwender zu einem aufgeklärten und damit sorgfältigen Umgang zu bewegen.
Es zeichnen sich zudem bereits neue Herausforderungen und Veränderungen im Bereich der mobilen Sicherheit ab, denen sich Unternehmen künftig stellen müssen. Aus Sicht von IDC werden eine zunehmende Autonomie der Fachbereiche, neue Use Cases jenseits der klassischen Office-IT sowie Internet-of-Things-Szenarien verstärkt in den Fokus der Mobile Security rücken und zu neuer Komplexität führen. Für IT-Entscheider wird es also auch in Zukunft nicht einfacher, das Spannungsfeld aus Business Enablement und Absicherung aufzulösen.