Sinkende Zahl von registrierten Vorfällen ist eher ein Alarmzeichen
Firmen verschließen die Augen vor IT-Attacken
Die wichtige Rolle der Mitarbeiter beim IT-Schutz wird allmählich erkannt, zeigen Security-Umfragen. Allerdings unterschätzen viele Firmen gezielte Spionage-Attacken.
"Die Ausgaben für Informationssicherheit werden 2007 deutlich steigen", ist die Nationale Initiative für Internetsicherheit (NIFIS) optimistisch: Von 100 befragten Branchenkennern schätzt knapp die Hälfte, dass die Betriebe ihr Budget bis 2011 um mindest 50 Prozent erhöhen. Im Fokus stehe dabei überwiegend die Aufklärung und Schulung von Mitarbeitern sowie die Etablierung einer unternehmensweiten Security-Policy mit entsprechenden Verhaltensregeln. NIFIS-Vorstandsvorsitzender Peter Knapp: "Es ist sehr zu wünschen, dass die befragten Experten Recht behalten – denn genau in diesem Punkt liegt das Hauptproblem."
Zumal auch eine Studie von Capgemini zeigt, dass die rund 100 befragten IT-Verantwortlichen aus Deutschland, Österreich und Schweiz die IT-Sicherheit vor allem durch unberechtigte Zugriffe von innen (46 Prozent) sowie durch das mangelnde Bewusstsein der Mitarbeiter gefährdet sehen: Die Awareness-Thematik hat sich sogar im Vergleich zu 2006 verdoppelt – von 38 auf 74 Prozent.
Umso erstaunlicher finden die Berater, dass vergleichsweise preisgünstige Maßnahmen zur Erhöhung des Sicherheitsbewusstseins wie Trainings trotz hohem Return on Investments nur sparsam eingesetzt werden. "Viele IT-Leiter fühlen sich immer noch hauptsächlich für die technischen Lösungen verantwortlich, anstatt das Unternehmen als Ganzes zu sehen. Als Folge delegieren sie die Verantwortung für Seminare gerne an andere Abteilungen."
Eine weitere mögliche Erklärung sei die Tatsache, dass Maßnahmen im Bereich Security nicht im gleichen Maße unter wirtschaftlichem Druck stehen wie andere IT-Projekte, da viele Verantwortliche Probleme mit konkreten Risikoberechnungen haben. 62 Prozent nutzen qualitative Risikobewertungen, nur 28 Prozent quantitative Analysen. Den relativ niedrigen wirtschaftlichen Druck sehen die Capgemini-Autoren auch als Ursache dafür, dass nur wenige Betriebe Security-Funktionen auslagern und 64 Prozent der Befragten alle Arbeiten rund um die Security im eigenen Haus erledigen. Dabei spiele wohl auch eine Rolle, dass sicherheitsrelevante Informationen nur ungern an Dritte weitergeben werden. Aber selbst Schulungen vergeben nur knapp 20 Prozent der Befragten an externe Dienstleister.
Gesunken ist zugleich die Zahl der Firmen, die einen sicherheitsrelevanten Zwischenfall registriert hat. Capgemini: "Dieses Ergebnis lässt aufhorchen, da es sehr unwahrscheinlich ist, dass die Angriffsquote so stark zurückgeht. Wahrscheinlicher ist, dass so mancher sicherheitsrelevante Zwischenfall unentdeckt bleibt." Aber aufgepasst: "Wenn die Anzahl der sicherheitsrelevanten Zwischenfälle bei einem Unternehmen stark abnimmt, sollte sich das Management die Frage stellen, ob es an der richtigen Stelle prüft und in die richtigen Systeme investiert hat", so die Studie.
Unkenntnis über die Gefahrenlage vermutet auch IDC nach 450 Interviews mit Mittelständlern in Deutschland, USA, Großbritannien und Australien. Nur 18 Prozent sagen, sie hätten einen IT-Security-Vorfall gehabt. IDC glaubt die Zahl nicht: Entweder die Firmen wollten nicht über ihre Schwachpunkte reden oder sie wüssten gar nicht, dass ihre Informationsbestände Opfer einer heimlichen Attacke wurden: "Falls das wahr ist, ist das besonders ernst zu nehmen."
Als größte Security-Herausforderungen nennen die KMUs neben dem Thema "Kosten im Zaum halten" (33 Prozent) auf der Höhe der Zeit zu bleiben, sowohl in Bezug auf neue Security-Lösungen (39 Prozent) als auch auf neue Bedrohungen (38 Prozent). Für IDC allerdings ein Zeichen, dass die Security-Gedanken nach wie vor von Aspekten mit eher niedrigem Mehrwert dominiert werden. Die Analysten raten daher – ganz im Sinne der Auftraggeber Messagelabs und McAfee: "Managed Security Services sind ein Ausweg aus diesem Dilemma."
Armin Barnitzke/wj
Lesen Sie mehr zum Thema
