Content:

Zwei von drei deutschen Unternehmen registrieren mehr oder wesentlich mehr Verstösse gegen ihre IT-Sicherheit als noch 2003. Jedem dritten Befragten sind dabei in den letzten zwölf Monaten durch Viren, Würmer und kriminelle Mitarbeitende bis zu 10 000 Euro Schaden entstanden. Zu diesen Ergebnissen kommt die Studie «IT-Security 2004» der Informationweek, die zusammen mit Mummert Consulting ausgewertet wurde. Viele Unternehmen werden aus Schaden nicht klug: Mehr als die Hälfte der Befragten schätzt das Sicherheitsrisiko im Unternehmen als eher gering ein. Jedes fünfte Unternehmen hat keine festgelegten Sicherheitsrichtlinien - so genannte Security Policies.

Obwohl die Informationstechnologie (IT) der Unternehmen immer öfter attackiert wird, sind diese nicht ausreichend gegen die Angriffe gewappnet. Zwar verfügen rund 90% über Virenscanner und Firewalls, doch nur 44% setzen beispielsweise auf automatische Updates der Antivirensoftware. 15% aktualisieren den Virenschutz erst, wenn es bereits zu einem Sicherheitsverstoss gekommen ist. Dabei sind gerade Viren, Würmer und trojanische Pferde die grösste Bedrohung für die Unternehmens-IT. 83,1% der Sicherheitsverstösse der letzten 12 Monate gehen auf das Konto dieser Schädlinge. Auf Platz 2 sind mit 30,4% bekannte Schwachstellen in den Betriebssystemen, und immerhin rund 30% der Angriffe lassen sich auf menschliches Versagen oder Bedienungsfehler zurückführen.

Auf der Prioritätenliste der taktischen Sicherheitsmassnahmen für das kommende Jahr steht die Verbesserung der Betriebssystemsicherheit mit rund 50% der Nennungen auf Platz 1. 45% der Befragten wollen sich zudem auf die Abwehr von Viren & Co. konzentrieren. 2 von 5 Unternehmen planen Verbesserungen bei der Anwendungssicherheit, 30% bei den Zugriffskontrollen.

Doch die Massnahmen werden schnell zur stumpfen Waffe, denn Zeitmangel und niedrige Budgets behindern in mehr als jedem zweiten Unternehmen die Effektivität der IT-Sicherheit. So werden beispielsweise hoch sensitive Daten bei fast der Hälfte der Firmen nur noch klassifiziert, wenn Bedarf besteht. Problem Budget: Zwei Drittel der Entscheider rechnen mit konstanten oder sinkenden Sicherheitsetats. Im Durchschnitt sollen bei der IT-Sicherheit rund 41% eingespart werden, 15% der Befragten rechnen mit Minderausgaben von mehr als 50%. Nur 27% der Unternehmen wollen hingegen ihre Sicherheitsausgaben erhöhen. Im Durchschnitt sollen bei ihnen rund 35% mehr für die Datensicherheit ausgegeben werden.

Ein weiteres Problem neben den gekürzten Sicherheitsinvestitionen ist das fehlende Bewusstsein für die IT-Sicherheit. Eine umfassende IT-Policy in Form einer kompletten Beschreibung der Sicherheitsmassnahmen und -ziele haben beispielsweise nur 13% der befragten Unternehmen. Mehr als jedes fünfte hat keine IT-Policy, bei 27% der Betriebe gibt es nur eine informelle Richtlinie. Auch die Kommunikation zu möglicherweise vorhandenen Sicherheitsrichtlinien lässt zu wünschen übrig: Im Durchschnitt sind nur rund 61% der Mitarbeitenden in deutschen Unternehmen mit ihrer IT-Sicherheitsrichtlinie vertraut.

Die häufig fehlende Strategie setzt sich in der operativen Umsetzung der IT-Sicherheit fort. 82% der Unternehmen sichern ihre sensiblen Daten mit einfachen Benutzerpasswörtern. Nur jeder Vierte setzt auf Smartcards, Einmal-Passwörter oder Token. Kaum ein Unternehmen (3,5%) verwendet aufwändige biometrische Verfahren, um die IT zu schützen. Doch nicht immer sind die Unternehmen schuld, wenn es an der Sicherheit der Rechner mangelt. 43,3% der Befragten sehen ein Problem in der hohen Komplexität der angebotenen Sicherheitstechnologien. Ein schlechtes Preis-Leistungs-Verhältnis der Sicherheitslösungen behindert für 42,6% der Unternehmen die Effektivität der Sicherheit. Obwohl die Hersteller von Sicherheitslösungen versuchen, den Bedrohungen immer eine Nasenlänge voraus zu sein, sind die Anwender mit den angebotenen Lösungen unzufrieden. Jeder vierte Befragte bemängelt unausgereifte Technologien seitens der Hersteller.

An der Studie «IT-Security 2004» nahmen 842 IT-Manager aus Deutschland und der Schweiz von April bis Juni 2004 teil. Die Befragung wurde in Form elektronischer Interviews im Auftrag der Informationweek von Research+Consulting durchgeführt und mit Unterstützung von Mummert Consulting ausgewertet.