Der Geist ist willig, aber die Umsetzung ist schwach. So kann man das Sicherheitsdenke- deutscher Unternehmen für ihre IT zusammenfassen. Vier Fünftel aller deutschen Firmen erachten die IT-Sicherheit als sehr wichtig, aber ein Drittel hat im vergangenen Jahr - auch nach dem 11. September - überhaupt nichts getan, um die Informationssicherheit zu verbessern, und bei 60 Prozent der Unternehmen stagnieren die Budgets oder sind sogar rückläufig. Im Vergleich mit den USA oder Großbritannien bildet Deutschland somit das Schlusslicht in Sachen IT-Sicherheit. Besonders schlecht schneiden kleinere Unternehmen sowie der Bildungssektor ab, während Finanzdienstleister im Branchenvergleich die besten Noten erhalten.
Summiert man alle Ausfalltage der Computersysteme in deutschen Unternehmen aufgrund von Attacken auf die IT-Infrastruktur, kamen im vorigen Jahr 1,2 Millionen Tage zusammen. Nur vier Prozent der Unternehmen gaben an, überhaupt keine der gängigen Internet- und Netzwerkanwendungen zu haben. Bei 70 Prozent gibt es jedoch zumindest eine Internetseite, und rund die Hälfte nutzt ein so genanntes virtuelles privates Netzwerk(VPN). Wird nun die IT-Infrastruktur attackiert, fallen EDV-Programme oder das E-Mail-System aus (35 Prozent), das Netzwerk steht (24 Prozent), oder es werden vertrauliche Informationen gestohlen (13 Prozent).
Sicherheitsbudgets stagnieren
Deutsche Unternehmen mit mehr als 100 Mitarbeitern geben in diesem Jahr etwa 7,3 Milliarden Euro für Informationssicherheit aus. Das klingt zwar erst mal gut, doch das sind nur rund 410 Euro pro Mitarbeiter. Durchschnittlich sind zehn Prozent der IT-Budgets deutscher Unternehmen für Sicherheit reserviert. Und damit gehört die rote Schlusslaterne Deutschland. Zum Vergleich: In den USA liegt der Wert bei 49 Prozent und in Großbritannien bei 42 Prozent.
Bei der Frage, welche Sicherheitsmaßnahmen ergriffen werden, zeigen sich nach Ansicht der Unternehmensberater von Mummert + Partner eklatante Schwächen. So klassifizieren nur knapp 11 Prozent der deutschen Unternehmen ihre hochsensitiven Daten/Datensätze immer wieder, und nur 43 Prozent machen das regelmäßig. Erschreckend: Knapp 41 Prozent der deutschen Unternehmen klassifizieren ihre Daten überhaupt nicht.
Der beliebteste Schutz vor unbefugten Zugriffen auf Informationssysteme sind hier zu Lande Basis-Benutzer-Passwörter. Sie finden sich in 78,5 Prozent der Firmen. Mehrfach-Logons und -Passwörter sind bei knapp 60 Prozent im Einsatz. Terminal-Keys sowie eigene Software für die Zugriffskontrolle nutzt nur jedes fünfte Unternehmen (21 Prozent), und der Gebrauch von Single-Sign-on-Software ist mit 10,3 Prozent weit abgeschlagen und wird nur noch von der biometrischen Benutzerauthentifizierung (1,4 Prozent) an Bedeutungslosigkeit getoppt.
Bei den sonstigen Tools dominieren erwartungsgemäß die Antivirenprogramme mit über 88 Prozent, gefolgt von Application-Firewalls (76,6 Prozent) und der automatischen Datensicherung (70,4 Prozent). Intrusion-Detection-Systeme (23,1 Prozent), Content-Filter (20,3 Prozent) und Sicherheitsschulungen für Benutzer (19,3 Prozent) rangieren weit abgeschlagen auf den letzten Plätzen.
Wie sicher wird die Zukunft?
Die Verbesserung der Netzwerksicherung ist für deutsche Unternehmen die wichtigste strategische Sicherheitsmaßnahme der kommenden zwölf Monate. Immerhin waren mehr als die Hälfte der deutschen Unternehmen im vorigen Jahr von einem oder mehreren Sicherheitsverstößen betroffen, wobei Computerviren, Würmer sowie Trojanische Pferde mit 41,8 Prozent der Nennungen das Hauptproblem darstellten. Mit fast 80 Prozent liegt dieses Vorhaben deutlich vor dem Blocken von unbefugtem Zugriff (58,6 Prozent) und der Entwicklung einer Sicherheitsstruktur (43,5 Prozent).
Die letztgenannte Maßnahme wird aber hier zu Lande signifikant häufiger angeführt als in den USA oder in Großbritannien. Mummert + Partner vermutet, dass diese Länder in diesem Bereich möglicherweise weniger Nachholbedarf haben als deutsche Unternehmen.
Bei den taktischen Sicherheitsmaßnahmen kristallisiert sich kein deutlicher Sieger heraus. Hier liegen die drei Maßnahmen Abwehr von Virusrisiken, Verbesserung der Betriebssystem-Sicherheit und die Installation von Netzwerk-Firewalls mit Werten zwischen 56 und 54 Prozent fast gleichauf.
Im Mittelpunkt der geplanten organisatorischen Maßnahmen steht der Mensch. Fast jedes zweite Unternehmen sieht die Schulung von Mitarbeitern als wichtigstes Ziel an. Ähnlich hoch wird die Steigerung der Benutzerwahrnehmung in Bezug auf Sicherheitsrichtlinien und Verfahren eingeschätzt.
www.mummert.de
ComputerPartner-Meinung:
Diese Umfrageergebnisse weisen den Weg in eine Art Paradies für den IT-Fachhandel. Denn einerseits ist dem Kunden die Bedeutung von IT-Sicherheit bewusst, andererseits hat er noch lange nicht alle Möglichkeiten ausgeschöpft, seine IT vor Schäden zu schützen. Herrlich! Also nichts wie ran an diesen viel versprechenden Markt! (go)