Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

26.08.1988 - 

Breit angelegte EG-Studie der Arthur Young International belegt:

In Deutschland sind die DV-Manager am nachlässigsten

MÜNCHEN (CW) - Studien und Enquêten zur DV-Sicherheit und zum Verhalten der Verantwortlichen in Notfällen gibt es wie Sand am Meer. Kein Rechenzentrumsbetrieb, der nicht irgendwo einen dicken diesbezüglichen Ordner stehen oder nicht die Katastrophenfall-Kernsätze an der Wand hängen hätte.

Die meisten Studien kranken in der Regel daran, daß unseriös wenige Unternehmen nur befragt wurden, das RZ-Personal hinwiederum nimmt es nicht so genau, wie jetzt eine neue "europäisch" angelegte Studie zu belegen sucht, die sich allerdings auf das stattliche Sample von 490 Antworten stützen kann. Wie der "Ochs vorm Berg" stehen demzufolge viele DV-Manager, will man den wenig schmeichelhaften Ergebnissen der Untersuchung der Arthur Young International trauen, und zwar gerade dann, wenn es um die Vermeidung von DV-Risiken geht. Am meisten wird erwartungsgemäß der komplette Systemausfall befürchtet, bestätigt die Young-Studie, die im Auftrag der Europäischen Gemeinschaft erstellt wurde.

Das eigentliche Thema der Studie ist die Einschätzung von DV-Risiken. Nur wenige Projekt-Teilnehmer gaben an, diesbezüglich frei von Sorgen zu sein. Rund 54 Prozent betrachteten die "Standard-Gefahren" als untergeordnetes Problem, 40 Prozent dagegen als Hauptproblem. Als wichtiges Teilergebnis kristallisierte sich dabei heraus, daß auch die Unternehmensleitung und der DV-Verantwortliche oft unterschiedliche Standpunkte vertreten. So klassifizierten 40 DV-Leiter (zehn Prozent) die DV-Sicherheit als geringes Problem, während man in der Chefetage darin die gravierendste Schwierigkeit sah.

Die Auswirkungen von Mängeln auf den Geschäftsbetrieb lassen sich wie folgt klassifizieren (Abbildung 1)

- Schäden durch Unterbrechung des DV-Betriebs (Hauptproblem),

- Schäden durch das Auftreten von Fehlern im DV-System (zweitwichtigstes Problem),

- Schäden durch die Weitergabe von sensitiven Daten (drittgrößter Risikofaktor),

- Diebstahl von Geld oder Wirtschaftsgütern durch Manipulation des Systems,

- Diebstahl von DV-Ressourcen (geringstes Risiko).

Als größte Angstpartie wird in den meisten Unternehmen also die Unterbrechung des DV-Betriebs beziehungsweise ein Systemausfall betrachtet. Ohne eine Rechner-Anlage können 20 Prozent der Firmen nur wenige Stunden und 48 Prozent nur wenige Tage über die Runden kommen. Schäden durch das Auftreten von Fehlern im EDV-System selbst werden als zweithäufigste Risikoquelle eingeschätzt. Die Auswirkungen potenzieller Schäden schlagen aus der Sicht der meisten Anwender finanziell mit Summen bis zu 150 000 Mark oder aber zwischen 150 000 und 1 500 000 Mark zu Buche (Abbildung 2).

Als "Missetäter" werden - so die Studienergebnisse - oft die eigenen DV- oder andere Mitarbeiter genannt. Daneben ist die Rede von "höherer Gewalt" und "Dritten" als Risikoursachen. Skeptisch waren die Befragten auch hinsichtlich der Ehrlichkeit ihrer Mitarbeiter. Von besonderem Interesse ist für Arthur Young in diesem Zusammenhang, daß in nur 34 Prozent der Unternehmen die Vergangenheit der Mitarbeiter zumindest teilweise überprüft wurde. Dies sei erstaunlich, wenn man ins Kalkül ziehe, daß DV-Mitarbeiter als die größte Bedrohung für die Integrität des DV-Systems angesehen werden.

Als erwähnenswert sieht die Wirtschaftsprüfungsgesellschaft auch die Tatsache an, daß 58 Prozent der befragten Unternehmen einen schriftlichen Notfallplan haben, aber seine Funktionsfähigkeit in den letzten zwölf Monaten nur von 16 Prozent vollständig und von 15 Prozent teilweise überprüft wurde. Deutsche Unternehmen schneiden hierbei besonders schlecht ab (sechs Prozent mit vollständig und 20 Prozent mit teilweise getesteten Notfallplänen). Bezüglich der Mittel zur Problembewältigung wissen im Durchschnitt mehr als 50 Prozent der befragten Unternehmensleiter und DV-Leiter entweder nicht Bescheid oder sehen keine Maßnahmen, um die jeweiligen Schwierigkeiten aus dem Wege zu räumen (Abbildung 3).

Die DV-Leiter wurden zusätzlich befragt, ob die Techniken der DV-Sicherheit hinter neuen Technologien zurückbleiben. 32 Prozent beantworteten diese Frage mit "ja", 35 Prozent mit "weiß nicht". In diesem Zusammenhang wurden hauptsächlich folgende Bereiche problematisiert:

- Netzwerke, sowohl öffentlich als auch privat,

- Mikrocomputer, vor allen Dingen, wenn sie mit dem Mainframe verbunden oder in ein lokales Netzwerk eingebunden sind,

- Grenzen des Passwortschutzes,

- Komplexität der Systeme und

- Mehraufwand durch Protokollierung.

Von den 490 Unternehmen, deren Antworten in die Umfrageergebnisse einflossen, berichteten 70 von jeweils einem Schaden (14 Prozent) und drei Unternehmen von jeweils zwei aufgetretenen Schäden. Dies ist mehr als Arthur Young erwartet hatte, vor allem, wenn man berücksichtige, daß 64 DV-Leiter und 59 Mitglieder der Unternehmensleitung derartige Vorfälle angedeutet, sich aber nicht dazu bereit gefunden hätten, Informationen darüber preiszugeben. Insgesamt gaben 160 Unternehmen (33 Prozent) an, daß sie Kenntnis von Schäden hätten (Abbildung 4 und 5).

Sowohl die Studie als auch die Detailuntersuchungen haben gezeigt, daß sich das Management in der Regel der DV-Risiken sehr wohl bewußt ist. Erstaunlich erscheine es jedoch gerade deshalb, daß die Qualität der Maßnahmen zur Vermeidung derartiger Risiken bei weitem nicht diesem Bewußtsein entspricht. Im Rahmen der Expertise ist auch deutlich geworden, daß die DV-Leiter, obwohl sie die Risiken im Detail kennen, sich nicht immer über die möglichen Auswirkungen auf das Unternehmen im klaren sind.

Es müsse deshalb als vordringlich angesehen werden, die Lücke zwischen dem Verstehen der DV-Risiken und der Durchführung von Maßnahmen zur Vermeidung dieser Risiken zu schließen.

Die Studie

Die von Arthur Young International in den Jahren 1986 und 1987 europaweit durchgeführte Studie "EDV-Risiken im Bewußtsein des Managements" wertet Erhebungen in den fünf europäischen Ländern Frankreich (137 Antworten), Niederlande (129 Antworten), Großbritannien (108 Antworten), Deutschland (96 Antworten) und Italien (20 Antworten) aus. Das von der Kommission der Europäischen Gemeinschaft finanziell unterstützte Projekt, mit dessen Durchführung in der Bundesrepublik die Arthur Young GmbH Wirtschaftsprüfungsgesellschaft, München, und die Schitag Schwäbische Treuhand AG, Stuttgart, betraut wurde, gliedert sich in eine an Unternehmensleitung und DV-Verantwortliche gerichtete Umfrage und Detailuntersuchungen bei ausgewählten Unternehmen. Weitere Informationen sind bei der Arthur Young GmbH zu erhalten. Die Adresse: Elisenstraße 3a, 8000 München 2, Telefon 089/59 87 33.

Unternehmensangaben

Das Gros der befragten Firmen stammt mit 46,74 Prozent aus dem Bereich "Produzierendes Gewerbe". Mit weitem Abstand folgen die Branchen Transport, Banken, Bauindustrie, Versicherungen, Öl und Gas, Verlagswesen und Vermögensverwaltung. In Bezug auf die einbezogenen Größenklassen ergibt sich folgendes Bild: Sehr große Betriebe mit 10 000 Beschäftigten und maximal bis zu 970 Millionen Mark Umsatz, große Betriebe mit mehr als 200 Millionen Mark Umsatz, mittlere Unternehmen mit mehr als 200 Beschäftigten und 20 Millionen Mark Umsatz sowie kleine Firmen mit bis zu 200 Beschäftigten und 20 Millionen Mark Umsatz.

Über die Hälfte der einbezogenen Anwender arbeiten mit Großrechnern, nur sechs Prozent dagegen mit Mikrocomputern. Die jährlichen Ausgaben für die DV schwanken zwischen 2 000 Mark und 320 Millionen Mark mit einem Mittelwert von 9,2 Millionen Mark; das entspricht im Normalfall ein bis drei Prozent der gesamten Aufwendungen eines Unternehmens.