45 Prozent der Sicherheitsverstöße 2008 sind auf Versehen zurückzuführen. Damit hat sich die Zahl unbeabsichtigter Störungen durch eigenes Personal gegenüber dem Vorjahr mehr als verdoppelt (21 Prozent). Kurzfristige Besserung ist nicht in Sicht. Denn gleichzeitig scheitern neue IT-Sicherheitsmaßnahmen immer häufiger am fehlenden Risikobewusstsein der Mitarbeiter. Jedes dritte Projekt zur Verbesserung der IT-Sicherheit wird wegen mangelnden Verständnisses der Belegschaft abgesagt. Zu diesem Ergebnis kommt die Studie "IT-Security 2008" der InformationWeek, die zusammen mit Steria Mummert Consulting ausgewertet wurde.
Die IT-Sicherheit in Deutschland verschlechterte sich 2008 deutlich gegenüber dem Vorjahr. Während gut 20 Prozent der Unternehmen mehr Verstöße verzeichneten, lag der Anteil der Rückgänge nur bei zehn Prozent. Dabei nahmen die Vorfälle in allen drei Top-Risikobereichen bedeutend zu. Angriffe durch Viren, Würmer und Spam stiegen um knapp fünf Prozentpunkte, der Missbrauch von E-Mail-Adressen um elf Prozentpunkte und unbeabsichtigte Fehlkonfigurationen um 24 Prozentpunkte.
Sorge bereitet ein Blick auf die wichtigsten Faktoren, die einer Verbesserung der IT-Sicherheit im Wege stehen. Wie bereits im Vorjahr ist mangelndes Risikobewusstsein in der Chefetage eine der größten Hürden auf dem Weg zu Sicherheitsinvestitionen. Knapp 30 Prozent der geplanten Projekte blieben dadurch auf der Strecke. Gleichzeitig vergrößerte sich der negative Einfluss, den fehlendes Verständnis der Mitarbeiter auf IT-Sicherheitsvorhaben hat. Jedes dritte Projekt scheiterte 2008 am mangelnden Risikoverständnis der Mitarbeiter. Das bedeutet ein Anstieg um knapp sechs Prozentpunkte im Vergleich zum Vorjahr.
Die Sorglosigkeit der Belegschaft setzt die IT-Sicherheit damit von zwei Seiten unter Druck. Einerseits steigt die Zahl der Sicherheitsverstöße in der praktischen Arbeit durch fehlendes Risikobewusstsein stetig an, und andererseits bildet ebendiese Haltung inzwischen den Haupthinderungsgrund für Maßnahmen zur Verbesserung des Sicherheitsniveaus.
Deutsche Unternehmen sind hauptsächlich von folgenden Sicherheitsverstößen beziehungsweise Angriffsmethoden betroffen: Computerviren, Würmer, Trojaner und Spam (63,4 Prozent), unbeabsichtigte Fehlkonfiguration, Versehen (44,9 Prozent), Missbrauch von E-Mail-Adressen (35,9 Prozent), Phishing (20,2 Prozent), externe Denial-of-Service-Attacken (15,4 Prozent), Versenden oder Kopieren vertraulicher Daten (13,8 Prozent), Missbrauch gültiger Benutzerkonten (10,5 Prozent) und Manipulation von Webscripting-Sprachen (6,2 Prozent). Mehr zur Studie "IT-Security 2008":
Steria Mummert Consulting, Birgit Eckmüller, Tel.: 040 22703-5219, E-Mail: birgit.eckmueller@steria-mummert.de