Die Mehrheit der Unternehmen in Deutschland verfügt über keine globale Sicherheitsrichtlinien: Zu diesem Ergebnis kommt eine Befragung von Equant unter 200 Entscheidern in deutschen Großunternehmen. Insgesamt gaben 77 Prozent der Führungskräfte an, keine übergreifenden Security-Policys implementiert zu haben.
Die Frage nach der Häufigkeit von Sicherheits-Zwischenfällen lieferte erstaunliche Zahlen: 63 Prozent aller Befragten registrierten bis zu zehn Sicherheits-Zwischenfälle pro Jahr. Immerhin zehn Prozent von ihnen gaben an, mehr als 50 Fälle pro Jahr zu verzeichnen. Lediglich neun Prozent der Großunternehmen hatten diesbezüglich keinerlei Probleme. Dagegen erfolgt die Registrierung und Bearbeitung der Sicherheitszwischenfälle in 58 Prozent der Fälle bereits auf globaler Basis.
Mittlerweile gewinnt die Aufklärung der Mitarbeiter allerdings mehr Bedeutung. Etwas mehr als die Hälfte der von Equant Befragten führen innerhalb ihrer Belegschaft regelmäßig Kampagnen zum Verdeutlichen der Sicherheitsrisiken und entsprechende Anwenderschulungen durch.
Immerhin 54 Prozent der 200 Unternehmen beschäftige einen global verantwortlichen Security Officer (CSO, Chief Security Officer), während alarmierende 22 Prozent der Befragten noch keinen Manager mit dieser Aufgabe betraut haben.
Die Frage, ob sich die teilnehmenden Unternehmen nach offiziellen Sicherheits-Standards richten, brachte keine Überraschungen: Immerhin 46 Prozent betrachten das GrundSchutzHandbuch (GSH) als verbindlich, während sich noch 39 Prozent nach der ITIL (IT Infrastructure Library) orientieren. Die "Information Security Management Systems - Spezifikation BS7799-2:2002 bewerten nur noch 15 Prozent und die ISO 17799-Norm nur noch acht Prozent der befragten Unternehmen als verbindliche Richtlinie. Die CobiT-Richtlinie (Control Objectives for Information and Related Technology) wird bisher noch von keiner Führungskraft als maßgebend eingestuft.
Dennoch sieht die Mehrheit der deutschen Großunternehmen ihre IT-Sicherheit im Vergleich zum Vorjahr verbessert. Insgesamt gaben knapp 60 Prozent der Befragten an, ihre Organisation sei auf Sicherheitsrisiken besser vorbereitet als zwölf Monate zuvor. Demgegenüber haben über 40 Prozent aller Teilnehmer keine qualitative Verbesserung ihrer IT-Sicherheitsstandards vorgenommen.
Die Frage, ob ein Verzeichnis über besonders schützenswerte Ressourcen existiere, bejahten 58,3 Prozent. Die übrigen 41,7 Prozent haben eine derartige Inventurliste schützenswerter Ressourcen noch nicht eingerichtet.
Mit über 92 Prozent aller teilnehmenden Unternehmen schützt die überwältigende Mehrheit der deutschen Großunternehmen ihre verschiedenen Internet Gateways mit den gleichen Sicherheitsstandards. Partner-Anbindungen, von denen 35,9 Prozent der Befragten mehr als 100 haben, werden bei etwas mehr als der Hälfte aller teilnehmenden Unternehmen durch die Gateways geschützt.
"Angesichts heutiger Bedrohungsszenarien sind die meisten globalen Unternehmen nicht optimal aufgestellt, um komplexe Umgebungen sicher zu betreiben", so Uwe Becker von den Professional Services Equant Deutschland. (rw)