Von Christoph Witte

Sicherheit ist ein undankbares Thema – wenn IT-Entscheider angemessen in die richtigen Schutzmechanismen investieren und nichts passiert, denkt außerhalb der IT niemand über Security nach. Erst wenn es durch Angriffe von außen oder durch böswillige interne Kräfte zu Datenverlusten oder Attacken kommt, ruft alles nach mehr Sicherheit. Trotz des ambivalenten Verhältnisses, das sowohl IT-Profis als auch Nutzer zum Thema Sicherheit haben, sollten Entscheider sich einen Überblick darüber verschaffen, was an Security-Problemen auf ihre Unternehmen zukommt, und wie sie ihre Unternehmen davor schützen können. Dieser Monitor soll dabei helfen

Niemand weiß genau, ob es sich beim folgenden Satz um echte Scareware handelt, die ihren Ursprung bei den IT-Service-Providern hat, oder ob das Phänomen wirklich in dieser Zwangsläufigkeit existiert. Der Satz lautet: „Wenn Unternehmen aufhören, in Security zu investieren, werden ihre Systeme automatisch immer unsicherer“. Ob zutreffend oder nicht, auf jeden Fall ist er bestechend logisch. Da die kriminelle Seite ständig nachrüstet und immer neue Schlichen ersinnt, um in Systeme einzudringen, dürften Zugangshürden, die Unternehmen heute aufgebaut haben, bereits in naher Zukunft so löchrig sein wie ein Schweizer Käse. Eine nachhaltige Prävention ist schwer machbar, da die Art des nächsten Angriffs nicht vorhersehbar ist. Die Logik des Satzes verstärkt sich außerdem durch das internationale Wachstum der Hackerszene. Vor allem in Ländern der ehemaligen Sowjetunion machen „talentierte“ Cyberkriminelle auf sich aufmerksam.

Ein wichtiges Phänomen, mit dem Unternehmen schon in den vergangenen Jahren zu kämpfen hatten, und das sie 2010 ebenfalls begleiten wird, ist die zunehmende Durchlöcherung der Grenze zwischen Unternehmensnetzwerk und dem öffentlichen Internet einerseits und zwischen den eigenen Netzen und denen ihrer Partner, Lieferanten und Kunden andererseits. Der Satz von Ex-Sun-Chef Scott McNealy, den er Ende der 90er Jahr prägte – „The network is the computer“ – hat durch die zunehmende Vernetzung der Unternehmen untereinander und ins öffentliche Internet sowie durch die Phänomene Cloud Computing und Software as a Service enorm an Aktualität gewonnen. Sicherheitstechnisch ist das nicht unproblematisch, weil die Unternehmen den Schutz des Unternehmensnetzwerks bisher als die wichtigste Verteidigungslinie betrachtet haben. Solange sie mit Firewalls und anderen Netzwerksicherungsmaßnahmen das Netzwerk vor Angriffen schützen konnten, waren die gröbsten Arbeiten erledigt. Aus dem Unternehmen heraus gab es einige wenige streng kontrollierte Schleusen in Netze anderer Unternehmen oder ins Internet, die sich mit entsprechendem Aufwand absichern ließen. Mit der extremen Zunahme von Internetzugängen ins Unternehmen und mit der Nutzung mobiler Devices, die fast alle auf interne Ressourcen zugreifen können, ist das sehr viel aufwändiger geworden. Noch komplexer wird die Angelegenheit, wenn sicherheitstechnisch nicht mehr zwischen „innerhalb“ und „außerhalb“ des Unternehmensnetzes unterschieden werden kann.

Die zunehmende Nutzung von Social Networks in Unternehmen, das Ausnutzen von Schwachstellen in Software, Web-Exploits, aber auch „klassische“ Angriffe auf die IT-Sicherheit in Unternehmen, werden die IT-Abteilungen in diesem Jahr in Atem halten. Hinzu kommen weitere Compliance-Anforderungen, die entweder 2010 in Kraft treten oder für deren Einhaltung die Übergangsfristen demnächst auslaufen.
Auch eine andere Wahrheit bleibt im gerade begonnenen Jahr gültig: Der Grad an Sicherheit ist immer abhängig von der Sensibilität der Mitarbeiter im Unternehmen oder in Partnernetzwerken. So banal das klingt, so wahr bleibt es: Zur Sicherheit gehören starke Passwörter, Verschlüsselung und das Einhalten schriftlich formulierter und allen zur Verfügung stehender Sicherheitsrichtlinien.

Der laxe Umgang vieler Unternehmen und Mitarbeiter mit den Vorgaben macht es Online-Kriminellen unnötig leicht, aus ihrem Handeln Kapital zu schlagen. Dabei machen sie es sich so leicht wie möglich. Sie bevorzugen einfache Attacken, die mit wenig Aufwand große Effekte erzielen. Es gilt also für Unternehmen, die Aufwandsschwelle anzuheben, um Hacker abzuwehren. Der Cisco-Sicherheitsreport 2009 nennt als Cashcows der Cyberkriminellen folgende Methoden:

Klickbetrug – werbefinanzierte Websites brauchen Traffic, um genügend Banner und andere Werbeformen auszuliefern. Es gibt etliche kriminelle Organisationen, die diesen Traffic künstlich in die Höhe treiben, um auf Sites mehr Werbung auszuliefern. Ein Sicherheitsproblem existiert hier für Unternehmen, die ihre Websites vor den Angriffen schützen müssen. Vorsicht ist auch auf Seiten der Online-Marketer geboten, um sich vor betrügerischen Werbeformen fernzuhalten.
Pharma-Spam – Das ist eines der zurzeit lukrativsten Segmente. Per E-Mail werden vorgeblich billige, aber oft nutzlose oder sogar gesundheitsschädliche Arzneimittel angeboten, die im regulären Handel sehr viel teurer sind. Dabei handelt es sich in der Regel um nutzlose Imitate, die teilweise aber durch Beimischungen Gesundheitsschäden verursachen. Der Spam an sich ist meist harmlos, die Vermeidung ist dennoch mühsam und erfordert aufwändige Filtermechanismen und permanente Nachbesserung.
Spyware – Software wie z.B. Keylogger wird eingeschleust, um vertrauliche oder geheime Unternehmensdaten auszuspähen und auf die Rechner der Angreifer zu übertragen. Werden sensible Daten unbemerkt kopiert, kann dies fatale und ruinöse Folgen für ein Unternehmen haben.
Scareware – Nutzer erhalten E-Mails, die sie vor Sicherheitslücken ihres Systems warnen und werden auf infizierte Websites gelockt, um gefälschte Sicherheitssoftware herunterzuladen. Sie enthält Malware, um Unternehmen auszuspionieren, oder Würmer und Trojaner. Auch diese Art von Angriffen kann fatale wirtschaftliche Folgen für ein Unternehmen haben.

Als „zukunftsträchtige“ Aktivitäten nennt der gleiche Report:
Zeus – ein auf das Ausspähen von Bankdaten fokussiertes Botnet, zu dem sogar ein Toolkit angeboten wird, um Varianten des Wurms Zeus zu erzeugen.
Web-Exploits – An sich seriöse Websites werden mit Malware gespickt. Jedes System, das diese Seiten öffnet, wird infiziert.

Nachgelassen haben der Cisco-Studie zufolge „Distributed Denial of Service“-Attacken, Pishing und Angriffe auf Instant Messaging-Netze.

2010 wird sich das Thema auch in Europa weiter durchsetzen.
Nach der intensiven Auseinandersetzung mit dem Thema werden Anwender in größerer Zahl zumindest Pilotprojekte aufsetzen. Einige werden darüber hinaus beginnen, produktive Daten und Applikationen in der Cloud zu verwalten. Je größer ein Unternehmen, desto weniger wird es sich auf so genannte Public Clouds verlassen, sondern wird wahrscheinlich auf Private-Cloud-Strukturen oder auf Virtual Private Clouds setzen, bei denen Daten und Applikationen sowohl in der Wolke als auch „on premise“ vorgehalten werden. Sicherheit, Business Continuity, Datenschutz und Compliance sind in diesem Zusammenhang heikle Themen. Anwender, die ernsthaft über Cloud Computing nachdenken, sollten vor einem Engagement die für sie in Frage kommenden Service-Provider in Punkto Sicherheit genauestens unter die Lupe nehmen:

• Wie sind die Informationen geschützt?
• Welche Sicherheits-Policy verfolgt der Anbieter?
• Hat er seine Security-Prozesse zertifizieren lassen?
• Wie streng sind die Regeln, und ist er in der Lage, sie auch durchzusetzen?
• Welche Daten werden wo gespeichert?

Gerade im datenschutzsensiblen Deutschland ist die letzte eine wichtige Frage. Dürfen doch personenbezogene Daten nicht außerhalb Westeuropas gespeichert werden.
Welche Kontrolle hat der Auftraggeber über seine Daten, sobald sie einmal in der Cloud sind? Wie kann er reagieren, wenn Staaten Compliance-Regeln ändern, oder Behörden oder auch Unternehmen, die ein anderes übernehmen wollen, entsprechende Audits verlangen? Hier werden die einschlägigen Service-Provider im kommenden Jahr nachrüsten. Beispielsweise müssen sie ihren Kunden garantieren können, dass bestimmte Daten ein bestimmtes Land nicht verlassen werden. Dabei reichen Availability-Zones nicht aus, die beispielsweise Amazon in seiner Elastic Compute Cloud (Amazon EC2) anbietet. Dabei können Anwender auswählen, in welcher Region ihre gemieteten Server-Kapazitäten angesiedelt sind. Der ebenfalls von Amazon angebotene Cloud-Speicher-Service S3 erlaubt hingegen keine Festlegung des Speicherortes durch den Nutzer. Dem steht schon die garantierte Verfügbarkeit der Daten entgegen, die aus Backup-Gründen an verschiedenen Speicherorten in der Amazon-Speicher-Cloud abgelegt werden. Auch Microsoft unterhält, genauso wie Google, für seinen Cloud-Service Azure Rechenzentren in der ganzen Welt. Bisher war den Mitteilungen des Unternehmens noch nicht zu entnehmen, dass sich Kunden die Standorte der genutzten Server aussuchen können.
Anwender müssen sich darüber im Klaren sein, dass sie trotz der Auslagerung in eine wie auch immer aufgebaute Cloud im Sinne des Gesetzgebers für Datenschutz, Sicherheit und die Einhaltung der Compliance-Regeln verantwortlich bleiben und im Zweifelsfall auch haften – nicht der Service-Provider.

Neben den Herausforderungen in Sachen Datenschutz und anderer gesetzlicher Vorschriften zur Datenverwaltung birgt die Cloud neue Sicherheitsgefahren. Kriminelle könnten versuchen, die Virtualisierungsebene (den Kern jeder Cloud-Infrastruktur) anzugreifen und darüber eine Vielzahl virtueller Rechner mit Malware zu infizieren. Das kann man sich vorstellen wie ein Botnetz in der Wolke.

Ebenfalls gelöst werden muss das Thema Identity Management. Welche Zugangsrechte hat welcher Mitarbeiter oder welcher Administrator auf Content, Applikationen und Infrastruktur in der Cloud – und wie stellen die Service-Provider sicher, dass diese Berechtigungskonzepte missbräuchliche Zugriffe ausschließen? Über die virtuellen Maschinen und die verteilten Rechenzentren hinweg dürfte das keine leichte Aufgabe sein. Denkt man darüber nach, dass sich die Orte, an denen Daten verarbeitet und gespeichert werden, sehr schnell ändern können und andere Nutzer auf die gleichen Ressourcen zugreifen, kann ein funktionierendes Identity Management zur echten Herausforderung werden, zumal wenn Anwender unterschiedliche Systeme nutzen.

Bei Fehlern oder Datenverlusten wollen Unternehmen die Ursachen nachvollziehen können. Die Frage ist, ob das in den Cloud-Strukturen von heute bereits machbar ist. Für gerunzelte Stirnen sorgen auch die Verpflichtungen verschiedener Branchen (Lebensmittel, Pharma, Chemie), die Komponenten ihrer Produkte jederzeit bis zum Ursprung zurückverfolgen zu können. Sie sind unsicher, ob sie diesen gesetzlichen Vorgaben in einer Cloud-Infrastruktur genügen können.

Ebenfalls noch nicht hinreichend geklärt ist, was passiert, wenn ein Kunde seinem Provider kündigt. Es muss sichergestellt sein, dass er seine Daten, Applikationen und die darauf basierenden Services in ordnungsgemäßem Zustand zurückerhält. Außerdem muss der Provider sicherstellen, dass keinerlei Daten nach Vertragsende auf seinen Systemen verbleiben. Wie das außer durch Audits und Zertifizierungen sichergestellt werden kann, ist noch nicht eindeutig beantwortet.

Nicht Cloud-spezifisch, aber aufgrund der verteilten Umgebungen, auf die von unterschiedlichsten, teilweise weltweit verteilten Nutzern zugegriffen werden kann, durchaus herausfordernd sind Fragen der Verfügbarkeit, der Applikationssicherheit und des Schutzes von Datenverlusten (Data Leakage Prevention).
Die genannten Herausforderungen lassen sich Experten zufolge überwinden. Schon in diesem Jahr dürften Cloud-Konzepte angeboten werden, die den Sicherheitsansprüchen der Anwender stärker entsprechen. Noch ist Sicherheit in der Cloud ein Differenzierungsmerkmal. Anbieter, die sichere Infrastrukturen anbieten, die vielleicht sogar Sonderwünschen nach einer bestimmten Verschlüsselungsart oder verschiedenen Service Levels in unterschiedlichen Ländern entsprechen, werden sicher ein Premium für ihre Services erzielen können. Außerdem gelten Sicherheits- und Compliance-Bedenken als die größten Hürden für Cloud Computing im großen Stil. Schon deshalb werden sich die Apologeten dieser neuen Delivery-Methode auf die dort angesiedelten Probleme stürzen und sie schnellstmöglich zu lösen versuchen. Das Beispiel der mangelnden Akzeptanz von Software as a Service zeigt, dass auch für Cloud-Angebote kein endlos großes Zeitfenster existiert. Das wissen auch die Anbieter und arbeiten mit Hochdruck an diesen Themen.

In den letzten zwei Jahren werden immer öfter Befürchtungen laut, dass Handys und Smartphones in den Fokus cyberkrimineller Energien geraten. Bisher sind allerdings erst wenige Schäden bekannt geworden. Grundsätzlich lassen sich zwei Angriffsarten unterscheiden: solche, die es speziell auf mobile Endgeräte und Plattformen abgesehen haben, vor allem SMS-Spam und Phishing. Und auf der anderen Seite werden ganz „normale“ Web-Exploits für mobile Plattformen zu einem Unsicherheitsfaktor, da sie sich durch die mobile Nutzung des Internets verbreiten. Dass Smartphones auch Zugang zu PCs und Unternehmensnetzen haben, bereitet den Sicherheitsverantwortlichen zunehmend Kopfzerbrechen. Über sie können Schädlinge ins Unternehmensnetz geschleust oder Daten ausgespäht werden.

Voice- und Datenübertragung bereiten den Mobile Carriern wenig Probleme, weil sie sie teilweise Sicherheitsüberprüfungen unterziehen. Aber der Austausch von Speicherkarten, Applikationen von Drittanbietern und der Download von Content öffnet die gleichen Einfallschneisen wie auf anderen Endgeräten und in Unternehmensnetzen auch. Die meisten Hersteller von Endgeräten sprechen sich einer Untersuchung des Security-Spezialisten Mac Afee zufolge deshalb für eine standardmäßig installierte On-Board-Security-Lösung für Mobile Devices aus. Sie gewähre den besten Schutz, ohne dass Nutzer und Carrier zusätzliche Aktionen starten müssten.

Die größte Bedrohung für Unternehmensanwender ist trotz Web-Exploits und Spamflut nach wie vor der Verlust sensibler Daten. Dabei geht die Gefahr nicht nur von kriminellen Hackern aus, die personenbezogene Daten oder vertrauliche Unternehmensdaten stehlen, um sie gewinnbringend weiterzuverkaufen, sondern auch von Mitarbeitern. Tatsächlich gehen mehr absichtliche oder unabsichtliche Datenverluste auf das Konto von Mitarbeitern als auf das von externen Kräften. Sei es, dass gekündigte Mitarbeiter absichtlich Unternehmensdaten entwenden, um sie zu verkaufen oder selbst zu verwenden oder sei es, dass sie unverschlüsselt Daten auf USB-Sticks, Laptops oder Smartphones speichern, die ihnen gestohlen werden oder die sie verlieren. Trotzdem verschlüsselt nur eine Minderheit von Unternehmen ihre zu übertragenden oder auf Wechselmedien gespeicherten Daten. Jeder kennt die Beispiele: Sie reichen von verlorenen CDs bei T-Mobile, auf der mehrere Millionen Kundendaten samt Bankverbindungen gespeichert waren, über diverse Datenskandale in den USA, in die die Armee, verschiedene Versicherungen und Pensionsfonds verwickelt waren, bis hin zu den Verlusten von Kreditkartendaten bei einem spanischen Kreditkarten-Dienstleister. Aufgrund dieses Vorkommnisses zogen verschiedene europäische Banken hunderttausende Kreditkarten von Kunden ein, die im ersten Halbjahr 2009 Spanien als Touristen besuchten.
Die Gefahr von Datenverlusten ist allgegenwärtig. Ihre Ursachen liegen gleichermaßen in fahrlässigem oder schlampigem Umgang mit sensiblen Daten sowie in ihrem gezielten Ausspähen und Stehlen.

Neben der Verschlüsselung und klaren Regeln im Unternehmen zum Umgang mit sensiblen Daten bieten Security-Spezialisten zunehmend Softwareprogrammgruppen zum Schutz vor Datenverlust („Data Loss Prevention Suites“, DLP-Suites) an, die dafür sorgen, dass keine vertraulichen Daten absichtlich oder unabsichtlich das Unternehmen verlassen. Allerdings sind diese Suites noch zu teuer, als dass sie von der Mehrheit der Unternehmen eingesetzt werden. Marktbeobachtern zufolge sollen die Preise für DLP-Suites jedoch im Laufe des Jahres sinken.

Noch lagern vergleichsweise wenige Unternehmen den Betrieb ihrer Sicherheitssysteme aus oder kaufen Security gleich als Service ein. Doch wegen der weiter steigenden Kosten und der zunehmenden Komplexität sollten Anwender die Angebote der Security-Dienstleister genauer evaluieren. Sie decken heute praktisch die gesamte Palette von Security-Lösungen ab, angefangen von Content- über Web-, Netzwerk-, Client-Security bis hin zu Data Loss Prevention und Identity Management. Neben den klassischen Sicherheitsanbietern wie Trend Micro, Mac Afee, Symantec und anderen, nehmen sich auch die großen IT-Dienstleister wie IBM, Accenture und HP dieses Themas an. Der Markt für Managed Security Solutions wird in diesem Jahr mit großer Wahrscheinlichkeit überdurchschnittlich wachsen.

Quelle: die folgenden Compliance-Regeln stammen aus dem Paper “Datenschutzreform 2009 – Das ist wichtig für Ihr Unternehmen”, dass im September 2009 von Sophos und Utimaco herausgegeben wurde.

Anzeigen von Datenschutzverletzungen:
Seit dem 1. September 2009 gilt die Informationspflicht gegenüber Behörden und Betroffenen. Wenn der Datenschutz verletzt wird und sogenannte sensible Daten betroffen sind, ist das nicht nur den Behörden, sondern auch den Betroffenen aktiv mitzuteilen. Alternativ kann der Verstoß gegen den Datenschutz auch in zwei überregionalen Zeitungen per Anzeige öffentlich gemacht werden. Wer dieser Verpflichtung nicht nachkommt, riskiert ein Bußgeld bis zu einer Höhe von 300 000 Euro.
(§ 42 a Bundesdatenschutzgesetz BDSG)

Datensparsamkeit und Datenvermeidung:
Unternehmen sind gehalten, nur die unbedingt notwendigen Daten ihrer Kunden zu speichern. Diese Vorschrift des BDSG ist durch zusätzliche Anonymisierungs- und Pseudonymisierungsregeln mit der Datenschutznovelle II gestärkt worden. §30 a des BDSG schreibt zwingend vor, dass Daten, die für Markt- und Meinungsforschung erhoben werden, nicht anders eingesetzt werden dürfen, es sei denn, sie sind anonymisiert bzw. pseudonymisiert.

Stärkung des Datenschutzbeauftragen:
§ 4 f BDSG stärkt den Kündigungsschutz des betrieblichen Datenschutzbeauftragten. Sein Kündigungsschutz wirkt künftig noch ein Jahr nach seiner Abberufung fort. Außerdem wird sein Recht auf Weiterbildung auf Kosten des Arbeitsgebers jetzt im Gesetz festgehalten. Allerdings können Unternehmen auch auf externe Datenschutzbeauftragte zurückgreifen. Sie genießen keinen Kündigungsschutz.

Detailliertere Regelungen in Verträgen für Dienstleister:
§ 11 Absatz 2 BDSG beinhaltet eine Liste von zehn Punkten, die in den Verträgen schriftlich festgehalten werden müssen. Außerdem sind Auftraggeber künftig verpflichtet, die Sicherheit des Auftragnehmers regelmäßig zu überprüfen.

Weitergabe personenbezogener Daten:
Die Weitergabe personenbezogener Daten ist ab 2010 ohne Zustimmung der Betroffenen grundsätzlich verboten. Ausnahme bleibt das sogenannte Listenprivileg der Direktmarketingunternehmen. Dabei handelt es sich um Name, Geburtsjahr, Beruf, akademischen Titel und Adresse, aber nicht Telefonnummer und E-Mail-Adresse. An diese Adressen kann ohne Zustimmung Werbung für eigene Produkte versendet werden, wenn die Listen entweder aus öffentlich zugänglichen Daten zusammengesetzt wurden oder Daten verwendet werden, die aus einem Vertragsverhältnis stammen. Hier ist eine Zuspeicherung von Daten erlaubt. Außerdem dürfen Listendaten verwendet werden, um Werbung an die berufliche Adresse von Leuten zu versenden, auch wenn sie noch nicht Kunden des Unternehmens sind. Auch steuerbegünstigte Spendenorganisationen dürfen Werbung auf Basis von Listendaten versenden.
Listendaten dürfen auch dann ohne Einverständnis der Betroffenen weitergegeben werden, wenn sie über ihr Widerspruchsrecht aufgeklärt worden sind, und wenn die Quelle der Adressinformation eindeutig genannt ist. Darüber hinaus müssen Unternehmen die Übermittlung ab April 2010 zwei Jahre lang dokumentieren, um dem Betroffenen in dieser Zeit auch nachträglich Auskunft geben zu können. Personenbezogene und Listendaten dürfen für die Bewerbung fremder Angebote benutzt werden, wenn der Betroffene klar erkennen kann, wer für die Nutzung der Daten verantwortlich ist.

Die Einwilligung zur Weitergabe seiner Daten muss in Zukunft vom Betroffenen schriftlich erteilt werden. Sie darf nicht mehr in den allgemeinen Geschäftsbedingungen „versteckt“ werden. Sie muss deutlich hervorgehoben werden. Außerdem ist die Kopplung der Einwilligung mit dem Eingehen eines Vertrages verboten.

Arbeitnehmerdatenschutz:
Präventive Screenings von IT-Massendaten sind verboten. Daten dürfen nur dann überprüft werden, wenn ein konkreter Verdacht auf eine Straftat vorliegt.

Erweiterte Rechte für Datenschutzaufsichtsbehörden
Sie dürfen nunmehr die Beseitigung der erkannten Mängel anordnen und sie gegebenenfalls auch mit Ordnungsgeldern oder -haft durchsetzen. Datenschutzverstöße gegen formale Pflichten dürfen nun mit bis zu 50.000 Euro bestraft werden. Bei materiellen Datenschutzverstößen werden nun bis zu 300.000 Euro fällig. Telefonwerbung ohne Einwilligung kostet bis zu 50.000 Euro Strafe. Telefonwerbung, bei der die Rufnummer unterdrückt wird, kostet bis zu 10.000 Euro.

Die meisten dieser Regelungen gelten seit dem 1. September 2009 für neu erfasste Daten. Für die Nutzung bereits vorhandener Daten gelten Übergangsfristen bis August 2010. Ab diesem Zeitpunkt sind auch sie den neuen Regeln unterworfen.

Sicherheit bleibt auch 2010 ein wichtiges Thema. Vor allem die Durchdringung der Unternehmen mit neuen Internetanwendungen (Web 2.0) wird die Sicherheitsverantwortlichen vor neue Herausforderungen stellen. Ähnliches gilt für das relativ neue Phänomen Cloud Computing. Hier müssen Anwender sehr großen Wert darauf legen, dass ihre Dienstleister die nötigen Sicherheits- und Compliance-Standards einhalten können.

Im mobilen Bereich bleibt die Absicherung von Smartphones das wichtigste Thema. Beileibe nicht neu, aber dennoch zentrales Anliegen aller Security-Spezialisten sollte der Schutz vor Datenverlusten sein. Hier kommt es immer wieder zu (teilweise unnötigen) Vorkommnissen, die sehr viele Unternehmenskunden betreffen, und die leider auch oft öffentlich bekannt werden. Im Bereich Data Leakage Prevention sollten Unternehmen ihre Anstrengungen verstärken.

Im Security-Markt sorgen sogenannte Managed Security Services für großes Interesse. Anwender sollten die Angebote der Dienstleister genau evaluieren, die versprechen, das komplexe Thema Sicherheit für die Anwender in den Griff zu bekommen.