IT-Security 2004

Jedem dritten Befragten sind dabei in den letzten zwölf Monaten durch Viren, Würmer und kriminelle Mitarbeiter bis zu 10.000 Euro Schaden entstanden. Zu diesen Ergebnissen kommt die Studie "IT-Security 2004" der Informationweek, die zusammen mit Mummert Consulting ausgewertet wurde. Viele Unternehmen werden aus Schaden nicht klug: Mehr als die Hälfte der Befragten schätzt das Sicherheitsrisiko im Unternehmen als eher gering ein. Jedes fünfte Unternehmen hat keine festgelegten Sicherheitsrichtlinien - so genannte Security Policies.

Mehr Angriffe, weniger Sicherheit

Obwohl die Informationstechnologie (IT) der Unternehmen immer öfter attackiert wird, sind sie nicht ausreichend gegen die Angriffe gewappnet. Zwar verfügen rund 90 Prozent über Virenscanner und Firewalls, doch nur 44 Prozent setzen beispielsweise auf automatische Updates der Antivirensoftware. 15 Prozent aktualisieren den Virenschutz erst, wenn es bereits zu einem Sicherheitsverstoß gekommen ist. Dabei sind gerade Viren, Würmer und trojanische Pferde die größte Bedrohung für die Unternehmens-IT. 83,1 Prozent der Sicherheitsverstöße der letzten zwölf Monate gehen auf das Konto dieser Schädlinge. Auf Platz zwei sind mit 30,4 Prozent bekannte Schwachstellen in den Betriebssystemen, und immerhin rund 30 Prozent der Angriffe lassen sich auf menschliches Versagen oder Bedienungsfehler zurückführen.

Wenig Geld für Sicherheit

Auf der Prioritätenliste der taktischen Sicherheitsmaßnahmen für das kommende Jahr steht die Verbesserung der Betriebssystemsicherheit mit rund 50 Prozent der Nennungen auf Platz eins. 45 Prozent der Befragten wollen sich zudem auf die Abwehr von Viren & Co. konzentrieren. Rund zwei von fünf Unternehmen planen Verbesserungen bei der Anwendungssicherheit, 30 Prozent bei den Zugriffskontrollen.

Doch die Maßnahmen werden schnell zur stumpfen Waffe, denn Zeitmangel und niedrige Budgets behindern in mehr als jedem zweiten Unternehmen die Effektivität der IT-Sicherheit. So werden beispielsweise hochsensitive Daten bei fast der Hälfte der Firmen nur noch klassifiziert, wenn Bedarf besteht. Problem Budget: Zwei Drittel der Entscheider rechnen mit konstanten oder sinkenden Sicherheitsetats. Im Durchschnitt sollen bei der IT-Sicherheit rund 41 Prozent eingespart werden, 15 Prozent der Befragten rechnen mit Minderausgaben von mehr als 50 Prozent. Nur 27 Prozent der Unternehmen wollen hingegen ihre Sicherheitsausgaben erhöhen. Im Durchschnitt sollen bei ihnen rund 35 Prozent mehr für die Datensicherheit ausgegeben werden.

Mangelndes Sicherheitsbewusstsein Ein weiteres Problem neben den gekürzten Sicherheitsinvestitionen ist das fehlende Bewusstsein für die IT-Sicherheit. Eine umfassende IT-Policy in Form einer kompletten Beschreibung der Sicherheitsmaßnahmen und -ziele haben beispielsweise nur 13 Prozent der befragten Unternehmen. Mehr als jedes fünfte hat keine IT-Policy, bei 27 Prozent der Betriebe gibt es nur eine informelle Richtlinie. Auch die Kommunikation zu möglicherweise vorhandenen Sicherheitsrichtlinien lässt zu wünschen übrig: Im Durchschnitt sind nur rund 61 Prozent der Mitarbeiter in deutschen Unternehmen mit ihrer IT-Sicherheitsrichtlinie vertraut.

Die häufig fehlende Strategie setzt sich in der operativen Umsetzung der IT-Sicherheit fort. 82 Prozent der Unternehmen sichern ihre sensiblen Daten mit einfachen Benutzerpasswörtern. Nur jeder Vierte setzt auf Smartcards, Einmal-Passwörter oder Token. Kaum ein Unternehmen (3,5 Prozent) verwendet aufwändige biometrische Verfahren, um die IT zu schützen. Doch nicht immer sind die Unternehmen Schuld, wenn es an der Sicherheit der Rechner mangelt. 43,3 Prozent der Befragten sehen ein Problem in der hohen Komplexität der angebotenen Sicherheitstechnologien. Ein schlechtes Preis-Leistungs-Verhältnis der Sicherheitslösungen behindert für 42,6 Prozent der Unternehmen die Effektivität der Sicherheit. Obwohl die Hersteller von Sicherheitslösungen versuchen, den Bedrohungen immer eine Nasenlänge voraus zu sein, sind die Anwender mit den angebotenen Lösungen unzufrieden. Jeder vierte Befragte bemängelt unausgereifte Technologien seitens der Hersteller.

An der Studie "IT-Security 2004" nahmen 842 IT-Manager aus Deutschland und der Schweiz von April bis Juni 2004 teil. Die Befragung wurde in Form elektronischer Interviews im Auftrag der Informationweek von research+consulting durchgeführt und mit Unterstützung von Mummert Consulting ausgewertet.