IT-Sicherheit 2007: Riskante Mischung
IT-Sicherheit 2007: Riskante Mischung Eine deutliche Diskrepanz zwischen Problembewusstsein und Handlungsbereitschaft in punkto IT-Sicherheit bei vielen deutschen Unternehmen brachte die Studie »Sicherheitscheck 2007« von secunet Security Networks zutage.
Wenn die IT-Entscheider das Sicherheitsniveau ihrer Firma selbst einschätzen, dann fällt das Votum überraschend positiv aus: Mehr als 80 Prozent der Befragten attestieren ihren IT-Systemen einen hohen bis sehr hohen Sicherheitsstand. Insbesondere große Firmen, aber auch Handels- und Dienstleistungsunternehmen sehen ihre Informationstechnik bestens geschützt. Deutlich negativer sehen dagegen Befragte in der öffentlichen Verwaltung die Sicherheit ihrer Rechner und Netze: Fast ein Viertel der Befragten stuft das Niveau ihrer IT-Sicherheit als eher niedrig ein. Riskant wird es, wenn schwache IT-Sicherheit mit einer großen Abhängigkeit von der Informationstechnologie gepaart ist: Bei 63 Prozent der Firmen mit einem eher schlechten Sicherheitsniveau löste ein Ausfall erhebliche Störungen im Geschäftsbetrieb aus. Auf alle Branchen bezogen gehört jedes siebte Unternehmen jener Risikogruppe an, die trotz geschäftskritischer Störungen bei IT-Ausfall nur schwache Sicherheitsmaßnahmen entgegenzusetzen habt. Erfreulicherweise verfügen drei Viertel der Unternehmen mit hoher IT-Abhängigkeit auch über gute Sicherheitsstandards.
Nachholbedarf im Mittelstand
Wie stark einige Unternehmensgruppen mittlerweile von der IT abhängig sind, zeigt sich insbesondere in der Industrie: Für fast 95 Prozent der Branche zöge ein Ausfall der IT-Systeme erhebliche Störungen bis hin zu ernsten Folgeschäden nach sich. Bei Unternehmen mit mehr als 5000 Mitarbeitern liegt das entsprechende Störpotenzial gar bei vollen 100 Prozent. Immerhin: Die meisten Führungskräfte deutscher Unternehmen sind sich dieser Gefahr durchaus bewusst. Knapp 70 Prozent der befragten IT-Entscheider sind davon überzeugt, dass die IT-Sicherheit in der Führungsebene ihres Unternehmens eine hohe bis sehr hohe Aufmerksamkeit genießt. Die restlichen 30 Prozent meinen freilich, dass ihre Geschäftsleitung ein eher geringes bis sehr geringes Problembewusstsein für die Gefahren innerhalb des IT-Betriebs aufbringt. Besonders gravierend sieht es bei mittelgroßen Betrieben mit bis zu 200 Mitarbeitern aus. 43,5 Prozent attestieren hier der Geschäftsleitung eine nur sehr geringe Bereitschaft für die notwendigen Vorsorgemaßnahmen.
IT-Sicherheit ist Chefsache
Ist IT-Sicherheit Chefsache? Der deutsche Gesetzgeber lässt bei der Beantwortung dieser Frage wenig Spielraum. Die Antwort ist ein klares Ja. Denn eine ganze Reihe von Gesetzen macht Geschäftsführer und Vorstände von Unternehmen direkt verantwortlich, wenn Versäumnisse in der IT-Sicherheit vorliegen. So haftet ein Vorstand beispielsweise persönlich, wenn er Entwicklungen, die zukünftig ein Risiko für das Unternehmen darstellen könnten, nicht durch Risikomanagement-Verfahren überwacht und ihnen durch geeignete Maßnahmen vorbeugt (§§ 91 Abs. 2, 93 Abs. 2 Aktiengesetz). So manchem Geschäftsführer sollten Regelungen dieser Art zu denken geben. Dass die IT-Sicherheit Chefsache sein muss, zeigt sich auch bei der Kreditvergabe: Durch die Regelungen und Maßgaben, die der Basel-II-Katalog des internationalen Bankenausschusses auflistet, sind IT-Risiken auch Bestandteil einer Kreditprüfung geworden. Die dafür erforderliche Auswertung von Störfällen stellt dabei insbesondere mittelständische Betriebe vor große Herausforderungen. Aktuell kann mehr als jedes dritte Unternehmen mit bis zu 500 Mitarbeitern nur in Ausnahmefällen oder überhaupt nicht nachvollziehen, von wem oder durch was es geschädigt wurde. Mit dieser Quote liegen diese Unternehmen deutlich über dem Gesamtschnitt von 27 Prozent. Auch die öffentliche Verwaltung hat Schwierigkeiten, Schäden durch Angriffe festzustellen und auszuwerten: 36 Prozent der Befragten geben an, dies nur in Ausnahmen oder überhaupt nicht zu tun. Ein großes Manko bei vielen kleinen und mittelständischen Betrieben stellt die Tatsache dar, dass Sicherheitsrichtlinien häufig nicht schriftlich fixiert sind oder auch gänzlich fehlen. Und wenn es Richtlinien gibt, sind diese häufig nicht allen Mitarbeitern bekannt, abstrakt formuliert oder zu unverbindlich in der Anwendung. Das erschwert das Ahnden von Sicherheitsverstößen.
Auswertungsmöglichkeiten nicht ausgereizt
Doch auch bei Unternehmen mit guter IT-Ausstattung ist jeder sechste Betrieb nicht in der Lage, Angriffe auf die IT zu registrieren und auszuwerten. Das gilt ebenso für Unternehmen mit einer hohen Störanfälligkeit. Von diesen macht jedes Vierte keinen Gebrauch von der Auswertungsmöglichkeit: »Hier werden Chancen sträflich vernachlässigt, denn nur wer seine Gegner kennt, kann sich wehren. Erkennt man nicht, wie man angegriffen wird, kann man sich auch nicht wirkungsvoll schützen«, sagt Dr. Rainer Baumgart, CEO des IT-Security-Dienstleisters Secunet.
Etat-Entwicklung eher zaghaft als entschlossen
Diejenigen, die Angriffe registrieren und auswerten konnten, wissen Beunruhigendes zu berichten. Beinahe die Hälfte von ihnen hat eine Zunahme der Angriffe in Anzahl und Intensität gegenüber 2005 feststellen müssen. Obwohl diese Zahlen für einen Ausbau der IT-Sicherheit sprechen, verweigern sich viele entsprechenden Maßnahmen: Mehr als die Hälfte der Unternehmen, die von kritischen Auswirkungen für den Geschäftsbetrieb betroffen sind, möchte die Ausgaben des laufenden Betriebs unverändert lassen oder zurückfahren. Ein geteiltes Bild ergibt sich auch bei der Umsetzung neuer IT-Sicherheitstechniken: Die Hälfte der Befragten zeigt sich unschlüssig. Rund 45 Prozent wollen noch auf den Innovationszug aufspringen.
Vorrang für Sichere Datenkommunikation
Dort, wo der Geschäftsleitung eine hohe bis sehr hohe Aufmerksamkeit für den IT-Bereich zugestanden wird, ist die Investitionsbereitschaft besonders groß. Großen bis sehr großen Handlungsbedarf sehen die Unternehmen dabei vor allem bei der Verschlüsselung der Datenkommunikation über das Internet (VPN) und in der Datensicherheit von Notebooks (69 und 68 Prozent). Mehr als die Hälfte wollen diese Projekte bis Ende 2007 begonnen oder abgeschlossen haben. Auch die Absicherung von Web-Portalen, das zentrale Benachrichtigungsmanagement und die Verschlüsselung von E-Mails ist für eine Mehrheit der Unternehmen von großer Relevanz. Den geringsten Handlungsbedarf sehen die Befragten dagegen bei multifunktionalen Mitarbeiterausweisen, Personal Information Management-Pushdiensten und im Einsatz von Informationssystemen für das Sicherheitsmanagement nach ISO 27001.
Professioneller Rat ist die Ausnahme
Auffällig ist, dass sich viele Unternehmen bei der Prüfung der Vertrauenswürdigkeit von Sicherheitsprodukten auf ihre eigenen Erfahrungen verlassen. Mehr als 60 Prozent führen eigene Sicherheitsüberprüfungen durch. In etwa derselbe Prozentsatz sucht Rat in einschlägigen Fachmedien. Die Hälfte studiert die Referenzen des Anbieters oder verlässt sich auf Empfehlungen anderer Anwender. 46 Prozent vertrauen auf eine Zulassung durch das Bundesamt für Sicherheit in der Informationstechnik (BSI). Ohne jede Prüfung der Sicherheitsprodukte kommen erfreulicherweise nur 1,6 Prozent der Unternehmen aus.
