News und Produkte
Unternehmen vermehrt unzufrieden mit Softwareanbietern
Nach einer Studie des europäischen Verbands EuroCIO sind immer mehr Unternehmen unzufrieden mit ihren Softwarelieferanten. Fanden in der „Supplier Satisfaction Survey“ 2016 noch 87 % der befragten Firmen die lizenzierten Produkte „o. k.“, waren es 2018 nur noch 77 %. Ähnlich verhalte es sich mit der Zustimmung zum Lizenzmodell und zur Vertragsgestaltung, die in den letzten zwei Jahren um 20 beziehungsweise um 22 %-Punkte gesunken sei. Das Gleiche gelte für die Bereitschaft, bestehende Verträge zu verlängern – diese sank der Studie zufolge von 70 % auf unter 50 %. Allerdings sei auch zu konstatieren, dass die meisten Anwender aus ihrer zurückgehenden Zufriedenheit wenig Konsequenzen ziehen: So wollten nur etwa 25 % zu einem anderen Provider wechseln und circa 18 % arbeiteten an konkreten Exitplänen.
Insgesamt am zufriedensten sind die Befragten laut EuroCIO mit den Anbietern Cisco, VMWare und Microsoft. Auf dem letzten Platz der Rangliste steht Oracle – nur 29 % der Befragten waren insgesamt zufrieden mit dem Unternehmen, in diesem Bereich arbeiten auch die meisten Anwender an Exitplänen (39 %). Das deutsche Softwarehaus SAP schneidet mit einer allgemeinen Zufriedenheitsrate von 43 % unter den wichtigen sechs Providern leicht unterdurchschnittlich ab. Auffällig sei hier, dass die Bereitschaft der Befragten, ihre Verträge erneut abzuschließen, von 80 % im Jahr 2016 auf aktuell unter 40 % gefallen ist.
Insgesamt am zufriedensten sind die Befragten laut EuroCIO mit den Anbietern Cisco, VMWare und Microsoft. Auf dem letzten Platz der Rangliste steht Oracle – nur 29 % der Befragten waren insgesamt zufrieden mit dem Unternehmen, in diesem Bereich arbeiten auch die meisten Anwender an Exitplänen (39 %). Das deutsche Softwarehaus SAP schneidet mit einer allgemeinen Zufriedenheitsrate von 43 % unter den wichtigen sechs Providern leicht unterdurchschnittlich ab. Auffällig sei hier, dass die Bereitschaft der Befragten, ihre Verträge erneut abzuschließen, von 80 % im Jahr 2016 auf aktuell unter 40 % gefallen ist.
Im Cloudumfeld weist die Studie allerdings nur für Amazon und Microsoft detaillierte Ergebnisse aus: Demnach sind 88 % der Befragten insgesamt mit Amazon zufrieden und 62 % mit Microsoft. Das Verhalten der Cloudprovider weise trotz inzwischen stärkerer Konkurrenz im Cloudmarkt monopolistische Züge auf, kommentieren die Studienautoren. Doch angesichts steigender Preise werden Providerwechsel für Anwender wirtschaftlich attraktiver. (www.voice-ev.org / http://eurocio.org)
CISOs sind Teamplayer
Wenn es um die Themen IT-Sicherheitsstrategie, Mitarbeiterrekrutierung oder Investitionen geht, arbeiten laut einer Kaspersky-Umfrage 85 % der CISOs mit der IT-Abteilung zusammen, 66 % mit der Rechtsabteilung und 50 % mit der Führungsebene. CISOs seien sich demnach der Bedeutung abteilungsübergreifender Zusammenarbeit für die IT-Sicherheit des Unternehmens bewusst. Generell scheint die Bereitschaft zur Zusammenarbeit mit anderen Abteilungen mit dem Dienstalter der CISOs zu steigen: CISOs, die mehr als fünf Jahre Erfahrung haben, arbeiten häufiger in sämtlichen Belangen mit der IT-Abteilung zusammen (74 %) als solche mit nur zwei bis fünf Jahren Erfahrung (61 %).
Zwei Drittel (68 %) der CISOs möchten sich zudem künftig stärker in andere Abteilungen einbringen, um deren Anforderungen besser zu verstehen und Bedrohungen besser bekämpfen zu können. Die größten Hürden einer engen Zusammenarbeit sind laut den befragten IT-Sicherheitsverantwortlichen interne Hindernisse wie Kommunikation oder unterschiedliche Prozesse.
Qualifikation und Fähigkeiten
Außerdem zeige die Befragung, dass nur 26 % der CISOs Mitglieder des Vorstands sind – allerdings möchten das auch nur 25 % der Nicht-Vorstandsmitglieder ändern. Es gehe ihnen „nicht um eine formelle hierarchische Position, sondern um die richtige Grundhaltung“, so die Studienautoren. Gefragt nach ihrer beruflichen Qualifikation gaben 68 % an, über einen Master-Abschluss zu verfügen – einen Bachelor haben 29 % und 3 % verfügen über einen Doktortitel. Die wichtigsten beruflichen Qualifikationen basieren der Studie zufolge auf ISO 27001 (zwar keine persönliche Qualifikation, als führender Sicherheitsmanager spiele der CISO aber eine wichtige Rolle im Zertifizierungsprozess), „Certified Information Systems Security Professional“ (CISSP) und „Certified Information Security Manager“ (CISM). Nach den Ergebnissen der Umfrage verfügen erfahrenere CISOs eher über eine CISSP-Zertifizierung als weniger erfahrene, während CISM-Zertifizierungen nicht so verbreitet sind.
Die wichtigste Fähigkeit eines CISO ist laut der Befragten das technische Know-how (42 %). Danach komme „Geschäftliches Wissen, Geschick und Analysefähigkeit“ (20 %) und die „Bereitschaft zum Aufbau starker Beziehungen zu anderen Geschäftsbereichen“ (16 % – vgl. Abb. 1). Allerdings gibt es regional starke Unterschiede: So glauben beispielsweise in Nordamerika 27 % der CISOs, dass technisches Know-how wichtig sei, während im Nahen Osten und Afrika niemand diese Antwort ausgewählt hat. Für die Studienautoren zeigt dies, dass das Eigenverständnis der CISOs über ihre Rolle in den verschiedenen Regionen sehr unterschiedlich ist.
Unter Druck
Darüber hinaus wurde gefragt, was die CISOs im beruflichen Alltag unter Druck setze: Eine Ursache seien beispielsweise die immer komplexer werdenden IT-Architekturen (vgl. Abb. 2). Aber auch der Umgang mit personenbezogenen Daten und vertraulichen Informationen sorge durch immer strengere Vorschriften wie NIS und DSGVO für zunehmenden Druck. Hinzu komme die wachsende Anzahl von Cyberangriffen.
Für die von Kaspersky Lab in Auftrag gegebene Studie „Was macht Firmen, Finanzen & Fusionen einen CISO aus: Erfolg und Führungsverhalten im Bereich IT-Sicherheit in Unternehmen“ wurden weltweit 250 IT-Sicherheitsverantwortliche in Unternehmen unterschiedlicher Größe aus Industrie und Dienstleistung befragt – außerdem wurden 11 Interviews mit Experten durchgeführt. Die Studie kann über https://kas.pr/pxm8 kostenfrei heruntergeladen werden. (www.kaspersky.com/de/)
BSI empfiehlt 200 km Abstand zwischen georedundanten Rechenzentren
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat seine Empfehlung für die Entfernung georedundanter Rechenzentren (RZ) von fünf auf 200 Kilometer angehoben, berichtet das Unternehmen Zerto. Zwar heißt es im neuen Leitfaden „Kriterien für die Standortwahl höchstverfügbarer und georedundanter Rechenzentren (Standort-Kriterien HV-RZ)“ auch explizit, dass die „Angabe ‚5 km‘ in einem Papier des BSI, das 2005 als Hilfsmittel für den BSIGrundschutz veröffentlicht wurde, keinesfalls den Aspekt der Georedundanz im Auge hatte“ – in der Praxis wurde diese Aussage in „Hinweise zur räumlichen Entfernung zwischen redundanten Rechenzentren“ aber offenbar dennoch nicht selten so aufgefasst.
Als Gründe für die aktuelle Empfehlung nennt das BSI unter anderem, dass es nicht möglich sei, „zukünftige potenziell schädliche Situationen und Ereignisse ausreichend sicher vorherzusagen“ – daher der große benötigte Sicherheitsabstand. Der neue Leitfaden ist über www.bsi.bund.de/DE/Themen/Sicherheitsberatung/Hochverfuegbarkeit/Standort-Kriterien_HV-RZ/StandortKriterien_HV-RZ_node.html kostenlos erhältlich.
In vielen Fällen müssten Organisationen ihre heutigen DesasterRecovery-Strategien überdenken und anpassen, mahnt Zerto. Für Betreiber von Rechenzentren – besonders derjenigen, die vom Gesetzgeber als kritische Infrastrukturen eingestuft sind – habe diese „Änderung“ weitreichende Folgen. Unternehmen, die bisher aufgrund des Hinweises in Sachen Grundschutz nur fünf Kilometer zwischen redundanten Rechenzentren vorgesehen haben, müssen sich nun nach mindestens einem neuen Standort für das zweite Rechenzentrum umschauen. Einfach werde das nicht, kommentiert Zerto, bedeute der Wechsel doch eine umfangreiche Migration von Infrastruktur, Daten und aktiven Workloads.
Auch für die von vielen Unternehmen genutzten Systeme für Business-Continuity und Disaster-Recovery, die auf Verfahren wie synchrone Spiegelung, Backup und Snapshots aufbauen, habe die aktuelle Empfehlung Folgen: Mit der weiten Entfernung erhöhen sich gleichzeitig die Latenzzeiten der Daten, die zwischen den Rechenzentren hin und her verschoben werden. Eine deutlich höhere Latenzzeit zwischen zwei derart weit voneinander entfernten Rechenzentren mache allem voran eine synchrone Replikation von Daten, auf der die Hochverfügbarkeit vieler Systeme aufbaut, effektiv unmöglich, folgert Zerto.
„Die meisten Unternehmen werden ihr zweites georedundantes Rechenzentrum wohl in einem Umkreis von weniger als 200 Kilometern haben und sind demzufolge unmittelbar von der neuen Empfehlung des BSI betroffen“, kommentiert Johan van den Boogaart von Zerto die neue Empfehlung des Amts und ihre Folgen. „Somit stehen diese Unternehmen jetzt vor der Wahl, entweder ein drittes, weiter entferntes RZ aufzubauen oder gleich in die Cloud zu migrieren.“ (www.zerto.com)
Mehr IT-Sicherheitsfirmen am Markt
databyte hat mithilfe des eigenen Wirtschaftsinformationssystems Business Engine und dessen Auswertung der Informationen aus dem Handelsregister festgestellt, dass die Firmen-Neuanmeldungen mit dem Geschäftsgegenstand „IT-Sicherheit“ seit drei Jahren kontinuierlich steigen: von 169 Handelsregistereintragungen im Jahr 2016 über 204 neue Unternehmen der Branche (2017) auf 244 Anmeldungen bis einschließlich November 2018. Laut databyte spiegelt dieser Aufschwung der Branche eine explizite Wertsteigerung des Themas für Unternehmen wider.
Die meisten der im Handelsregister aufgeführten Unternehmen haben Dienstleistungen und explizite Entwicklung im IT-Bereich angegeben. Allerdings befinde sich auch der Begriff der beruflichen Erwachsenenbildung noch unter den Top-Ten. Den Grund hierfür sieht databyte in der Einführung der DSGVO, die zur Weiterbildung aller Mitarbeiter mit beruflichem Kontakt zu persönlichen Kundendaten verpflichte. Viele in beratender Tätigkeit agierende Unternehmen und auch Ausbildungsbetriebe hätten daraus einen neuen Geschäftszweig ableiten können. Selbst im Bereich der Sekretariats- und Schreibdienste, Post- Kurier- und Expressdienste sowie Logistik und im Großhandel bewirke die neue Rechtslage auf IT-Sicherheit fokussierte Unternehmen. (www.databyte.de)
Firmen, Finanzen & Fusionen
- ACP verstärkt Kompetenzen: Nach Firmenangaben hat sich ein 15-köpfiges Expertenteam für die Bereiche Unified Communications (Voice, Video), Network und Security der Systemhausgruppe ACP angeschlossen und in Mainz ein neues Kompetenzzentrum eröffnet. So baue man das Leistungsspektrum als Ansprechpartner für alle IT-Bereiche weiter aus. (acp.de)
- Partnerschaft zwischen ASW Bundesverband und Club Directeurs Sécurité des Entreprises (CDSE): Die beiden Verbände haben im Dezember 2018 einen Vertrag zum bilateralen Wissensaustausch zwischen Frankreich und Deutschland geschlossen. Die Partnerschaft soll ein deutliches Signal nach außen senden: Trotz oder gerade wegen der aktuellen politischen und gesellschaftlichen Situation rücke die Sicherheitsgemeinschaft enger zusammen – gemeinsam schaue man über Ländergrenzen, um sich auszutauschen, voneinander zu lernen und gemeinsam zu wachsen. Eine Zusammenarbeit hat der ASW Bundesverband überdies auch mit der Associazione Italiana Professionisti Security Aziendale (A.I.P.S.A.) vereinbart.
- Technologie-Partnerschaft von Barracuda Networks und macmon secure: Ziel sei es, die Ausbreitung von Ransomware und Advanced Persistent Threats (APTs) in Unternehmensnetzwerken zu erkennen und zu verhindern. Die Barracuda CloudGen Firewall und macmons NAC-Lösung sollen dazu aktiv über Verfügbarkeit und Sicherheitslage aller Endpunkte im Netzwerk informieren und so eine automatische Quarantäne gefährdeter Endgeräte ermöglichen.
- DriveLock übernimmt charismathics: Die Akquisition des Münchner Smartcard-Spezialisten umfasst Firmenangaben zufolge neben der deutschen GmbH auch die US-Tochtergesellschaft charismathics Inc. Mit der Übernahme erweitere DriveLock sein Produktportfolio und unterstütze mithilfe von charismathics Middleware auf seiner Software-Plattform künftig über 100 physische und virtuelle Smartcards. Die Mitarbeiter des Münchner Unternehmens werden einer Pressemitteilung zufolge mit übernommen – die charismathics-Lösungen sollen demnach auch zukünftig weiterentwickelt werden.
- Partnerschaft zwischen DigiCert und Venafi: Die „tief gehende Integrationspartnerschaft“ vereinfache und automatisiere komplexe Programme zur Identifizierung von Maschinen für sicherheitsbewusste Unternehmen – die kombinierte Lösung der beiden Anbieter ermögliche es, Public-Key-Infrastructures (PKIs) sowie den Schutz von Maschinenidentitäten mit Maschinengeschwindigkeit und -Skalierung anzupassen und zu orchestrieren.
- Kooperation von Fortinet und Symantec: Gemeinsam wolle man Unternehmen „umfassende und robuste Security-Lösungen“ zur Verfügung stellen. Als erster Schritt werde die Fortinet Next-Generation Firewall (NGFW) in den cloudbasierten Symantec Web Security Service (WSS) integriert. Darüber hinaus sei geplant, Symantec Endpoint Protection in die „Fortinet Security Fabric“-Plattform zu integrieren.
- HIMA und genua schließen strategische Partnerschaft im Bereich Automation-Security: Die Partner wollen gemeinsam IT-Sicherheitslösungen für die Prozess- und Bahnindustrie anbieten, die „höchste Safety- und Security-Standards erfüllen“ – Schwerpunkte seien die sichere Fernwartung von Maschinen und Anlagen, verschlüsselte Kommunikation via Internet sowie die Kontrolle von Industrieprotokollen an kritischen Netzwerk-Schnittstellen
- LogPoint und finally safe vereinbaren Partnerschaft für qualitative Sicherheitsanalysen: Mit der Integration der Datenverkehrsanalyse-Software von finally safe in das LogPoint-SIEM sollen Sicherheitsverantwortliche ihr Sicherheitsmonitoring granularer aufsetzen können. Gemeinsame Vertriebsaktivitäten schließen den Unternehmen zufolge mit ein, dass Unternehmen über spezielle Partner die kombinierte Lösung auch als Managed-Security-Service (MSS) beziehen können.
- Radware übernimmt ShieldSquare: Der Abschluss der Akquisition wird für das erste Quartal 2019 erwartet. Radware will ShieldSquares Bot-Management- und -MitigationProdukt im Rahmen seiner neuen Produktlinie Bot Manager anbieten.
- Seagate und Tape Ark wollen neue Möglichkeiten der digitalen Wiederherstellung und Monetarisierung bandgestützter Legacy-Daten eröffnen: Im Rahmen einer Partnerschaft kombiniere man die Datenmanagement-Expertise von Seagate mit Wiederherstellungsverfahren von Tape Ark, um Unternehmen zu ermöglichen, ihre archivierten, bandgebundenen Daten für den Zugriff und eine KI-gestützte Analyse in die Cloud zu übertragen.
- Seclore baut europäische Präsenz aus: Eine neue Niederlassung in Deutschland und erfahrene Branchenexperten sollen die Bereitstellung von Data-Centric-Security in ganz Europa optimieren, verlautbarte das Unternehmen mit Hauptsitz in Milpitas, Kalifornien, dessen Lösungen nach eigenen Angaben in über 6000 Organisationen in 29 Ländern 10 Petabytes an Daten schützen.
- Sophos übernimmt Avid Secure: Der Security-Anbieter mit Hauptsitz in San Francisco, Kalifornien, und Entwicklungsstandorten in Indien habe eine auf künstlicher Intelligenz basierende Cloud-Sicherheitsanalyse-, -Compliance- und DevSecOps-Plattform für einen effektiven End-to-End-Schutz von PublicCloud-Diensten wie AWS, Azure und Google entwickelt, die fortan das Sophos-Portfolio ergänzen soll.