Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Markt > »IT-Security Studie 2004«: Trügerische Sicherheit

»IT-Security Studie 2004«: Trügerische Sicherheit

30. September 2004, 0:00 Uhr |

»IT-Security Studie 2004«: Trügerische Sicherheit. Virenscanner und Firewalls gehören in deutschen Unternehmen inzwischen zur Standard-Ausstattung. Dennoch sind jedem dritten Unternehmen in den letzten zwölf Monaten durch Viren, Würmer und kriminelle Mitarbeiter bis zu 10.000 Euro Schaden entstanden, so die Studie »IT-Security 2004« der CRN-Schwesterzeitschrift Informationweek. Besserung ist so schnell nicht in Sicht: Trotz einer steigenden Zahl von Sicherheitsverstößen behindern Zeitmangel und restriktive Budgets weiterhin die Verbesserung der IT-Sicherheit.

»IT-Security Studie 2004«: Trügerische Sicherheit

Über 60 Prozent der deutschen Unternehmen stellten 2004 mehr oder wesentlich mehr Verstöße gegen ihre IT-Sicherheit fest als 2003. Jedem dritten Befragten ist in den letzten zwölf Monaten durch Viren, Würmer oder Mitarbeiter ein Schaden von bis zu 10.000 Euro entstanden ? so die Studie »IT-Security 2004« der CRN-Schwesterzeitschrift Informationweek, bei der rund 700 Unternehmen befragt und die zusammen mit Mummert Consulting ausgewertet wurde.

Die Lehren aus diesen Erfahrungen ziehen jedoch nur wenige Firmen: Mehr als die Hälfte der Befragten schätzt das Sicherheitsrisiko im Unternehmen als eher gering ein. Jedes fünfte Unternehmen hat keine festgelegten Sicherheitsrichtlinien. Sie verlassen sich vielmehr auf einmal installierte Sicherheitsvorkehrungen: Über 90 Prozent der Befragten besitzen Viren-Scanner und Firewalls, 30 Prozent nennen eigenen Angaben zufolge sogar ein Intrusion Detection- oder Intrusion Prevention-System ihr Eigen. Die Pflege dieser Systeme ist jedoch völlig unzureichend: Lediglich 44 Prozent setzen beispielsweise auf automatische Updates der Antivirensoftware und 15 Prozent aktualisieren den Virenschutz sogar erst dann, wenn es bereits zu einem Sicherheitsverstoß gekommen ist. Dabei wären die meisten Firmen mit den installierten Tools und Geräten recht ordentlich geschützt, wenn sie sie nur entsprechend nutzen würden, denn der Löwenanteil der Sicherheitsverstöße der letzten zwölf Monate (83,1 Prozent) geht auf das Konto von Viren, Würmern und trojanischen Pferden.

Betriebssysteme im Fokus

In der Liste der Sicherheitsverstöße steht nach den Schadprogrammen auf Platz zwei die Ausnutzung bekannter Schwachstellen in Betriebssystemen: 30,4 Prozent der Unternehmen hatten in den vergangenen zwölf Monaten damit Probleme. Und sie nehmen diese Probleme scheinbar sehr ernst, denn auf der Prioritätenliste der taktischen Sicherheitsmaßnahmen für das kommende Jahr steht die Verbesserung der Betriebssystemsicherheit mit rund der Hälfte der Nennungen auf Platz eins. Den Bereich, in dem die meisten Sicherheitsverstöße vorkommen, also Viren, Würmer und Trojaner, wollen immerhin noch 45 Prozent der Befragten mit hoher Priorität angehen. Und fast ein Drittel will bei den Zugriffskontrollen strategisch investieren.

Hier eröffnet sich ein ansehnlicher Markt für Systemhäuser, denn bisher setzt die überwiegende Zahl der Unternehmen lediglich auf Passwörter: 82,3 Prozent verwenden einfache Benutzerpasswörter wie sie Betriebssystem und Anwendungen ab- fragen, 47,9 Prozent Zugangspasswörter für Terminal-Clients. In solchen Szenarien ist es relativ einfach, durch erratene Passwörter oder den Missbrauch gültiger Benutzerkonten, Schaden anzurichten. So tragen diese Sicherheitsverstöße laut der Befragung zwar nur zu 10,5 beziehungsweise 4,9 Prozent zur Gesamtzahl der Angriffe bei, die Dunkelziffer dürfte aber wesentlich höher sein, da diese Angriffe ? im Gegensatz etwa zu einer Virenattacke ? deutlich häufiger unentdeckt bleiben dürften. Physikalische Authentifizierung in Form von Einmal-Passwort-Generatoren, wie sie von RSA oder Kobil angeboten werden, Tokens, wie sie etwa Aladdin im Programm führt, oder Smartcards verwenden derzeit nur 24,4 Prozent der Unternehmen. Dezidierte Client-Access-Tools (13,1 Prozent) oder Single-Sign-On-Software (11,0 Prozent) sind ebenfalls noch Nischenprodukte. Und biometrische Authentifizierungstools spielen mit 3,5 Prozent so gut wie keine Rolle.

Obwohl die Marktdurchdringung von Firewalls bei den befragten Unternehmen mit 90,8 Prozent bereits sehr hoch ist, zählen Investitionen in Firewall-Technologie auch weiterhin zu den wichtigeren strategischen Sicherheitsmaßnahmen. Im kommenden Jahr wollen 27 Prozent in Netzwerk-Firewalls, 17 Prozent in Personal-Firewalls und elf Prozent in Application-Firewalls investieren.

Aufklärungsbedarf weiterhin hoch

Dieser Trend dürfte Hersteller wie Check Point, die seit geraumer Zeit für die Vorzüge von Application-Firewalls werben, dann doch enttäuschen. Offenbar ist der Mehrwert, den diese Geräte bieten, am Markt noch nicht wirklich wahrgenommen worden. Rund jeder achte der Befragten sieht dies tatsächlich als Problem und nennt bei der Frage nach internen Gründen für das Scheitern von Sicherheitsinvestitionen »schlechte Beratung durch die Hersteller« und »schlechte Beratung durch Service Provider, Berater, Dienstleister oder Systemintegrator«.

Damit trägt der gescheiterte Wissenstransfer neben Geld- (37,7 Prozent) und Personalmangel (18 Prozent) wesentlich dazu bei, dass Projekte nicht zustande kommen. Denn auch das »Unverständnis der Geschäftsführung beziehungsweise der Budgetentscheider«, das zu 28 Prozent zum Scheitern von Security-Projekten beiträgt, dürfte auf eine verfehlte Informationspolitik und Beratungsstrategie zurückzuführen sein. Dieses Ergebnis spiegelt sich auch bei der Frage nach den externen Gründen für das Scheitern von Sicherheitsinvestitionen wider: 43 Prozent der Befragten ist die Technologie zu komplex, ebenso viele sehen den Nutzen in keinem Verhältnis zum Preis, und bei jedem vierten Unternehmen fehlt es an der Unterstützung der Geschäftsleitung für Sicherheitsprojekte ? zum großen Teil sicher auch ein Bewusstseins- und Verständnisproblem.

____________________________________________

IT-Security Studie 2004

An der Studie »IT-Security 2004« nahmen 842 IT-Manager aus Deutschland und der Schweiz teil. Die Befragung wurde in Form elektronischer Interviews von April bis Juni 2004 im Auftrag der CRN-Schwesterzeitschrift Informationweek von research + consulting durchgeführt und mit Unterstützung von Mummert Consulting ausgewertet.

INFO

CMP-WEKA research + consulting, Gruberstraße 46a,
D-85586 Poing, Tel. 08121 95-1595, Fax 0 8121 95-1597

Jetzt kostenfreie Newsletter bestellen!

Matchmaker+
Dahua Technology GmbH

Dahua Technology GmbH
Xelion GmbH

Xelion GmbH
sysob IT-Distribution GmbH & Co. KG

sysob IT-Distribution GmbH & Co. KG
Securepoint GmbH

Securepoint GmbH
Riello UPS GmbH

Riello UPS GmbH
ECOM Electronic Components Trading GmbH

ECOM Electronic Components Trading GmbH