Zwei von drei deutschen Unternehmen registrieren mehr oder wesentlich mehr Verstöße gegen ihre IT-Sicherheit als noch 2003. Jedem dritten Befragten sind dabei in den letzten zwölf Monaten durch Viren, Würmer und kriminelle Mitarbeiter bis zu 10.000 Euro Schaden entstanden. Zu diesen Ergebnissen kommt die Studie "IT-Security 2004" von Mummert Consulting, zu der 842 IT-Manager aus Deutschland und der Schweiz befragt wurden.
Doch viele Unternehmen werden aus Schaden nicht klug: Mehr als die Hälfte der Befragten schätzt das Sicherheitsrisiko im Unternehmen als eher gering ein. Jedes fünfte Unternehmen hat keine festgelegten Sicherheitsrichtlinien - so genannte Security Policies.
Bedrohung durch Viren
Obwohl die Informationstechnologie der Unternehmen immer öfter attackiert wird, sind diese nicht ausreichend gegen die Angriffe gewappnet. Zwar verfügen rund 90 Prozent über Virenscanner und Firewalls, doch nur 44 Prozent setzen beispielsweise auf automatische Updates der Antivirensoftware. 15 Prozent aktualisieren den Virenschutz erst, wenn es bereits zu einem Sicherheitsverstoß gekommen ist. Dabei sind gerade Viren, Würmer und Trojaner die größte Bedrohung für die Unternehmens-IT. 83,1 Prozent der Sicherheitsverstöße der letzten zwölf Monate gehen auf das Konto dieser Schädlinge. Auf Platz zwei rangieren mit 30,4 Prozent bekannte Schwachstellen in den Betriebssystemen, und immerhin rund 30 Prozent der Angriffe lassen sich auf menschliches Versagen oder Bedienungsfehler zurückführen.
Auf der Prioritätenliste der taktischen Sicherheitsmaßnahmen für 2005 steht die Verbesserung der Betriebssystemsicherheit mit rund 50 Prozent der Nennungen auf Platz eins. 45 Prozent der Befragten wollen sich zudem auf die Abwehr von Viren & Co. konzentrieren. Rund zwei von fünf Unternehmen planen Verbesserungen bei der Anwendungssicherheit, 30 Prozent bei den Zugriffskontrollen.
Doch die Maßnahmen werden schnell zur stumpfen Waffe, denn Zeitmangel und niedrige Budgets behindern in mehr als jedem zweiten Unternehmen die Effektivität der IT-Sicherheit. So werden beispielsweise hochsensitive Daten bei fast der Hälfte der Firmen nur noch klassifiziert, wenn Bedarf besteht.
Ein weiteres großes Problem ist das liebe Geld: Zwei Drittel der Entscheider rechnen mit konstanten oder sinkenden Sicherheitsetats. Im Durchschnitt sollen bei der IT-Sicherheit rund 41 Prozent eingespart werden, 15 Prozent der Befragten rechnen mit Minderausgaben von mehr als 50 Prozent. Nur 27 Prozent der Unternehmen wollen hingegen ihre Sicherheitsausgaben erhöhen. Im Durchschnitt sollen bei ihnen rund 35 Prozent mehr für die Datensicherheit ausgegeben werden.
Ein weiteres Problem neben den gekürzten Sicherheitsinvestitionen ist das fehlende Bewusstsein für die IT-Sicherheit. Eine umfassende IT-Policy in Form einer kompletten Beschreibung der Sicherheitsmaßnahmen und -ziele haben beispielsweise nur 13 Prozent der befragten Unternehmen. Mehr als jedes fünfte hat überhaupt keine IT-Policy, bei 27 Prozent der Betriebe gibt es nur eine informelle Richtlinie. Auch die Kommunikation zu möglicherweise vorhandenen Sicherheitsrichtlinien lässt zu wünschen übrig: Im Durchschnitt sind nur rund 61 Prozent der Mitarbeiter in deutschen Unternehmen mit ihrer IT-Sicherheitsrichtlinie vertraut.
Die häufig fehlende Strategie setzt sich in der operativen Umsetzung der IT-Sicherheit fort. 82 Prozent der Unternehmen sichern ihre sensiblen Daten mit einfachen Benutzerpasswörtern. Nur jedes vierte setzt auf Smartcards, Einmal-Passwörter oder Token. Kaum ein Unternehmen (3,5 Prozent) verwendet aufwändige biometrische Verfahren, um die IT zu schützen.
Doch nicht immer sind die Unternehmen schuld, wenn es an der Sicherheit der Rechner mangelt. 43,3 Prozent der Befragten sehen ein Problem in der hohen Komplexität der angebotenen Sicherheitstechnologien. Ein schlechtes Preis-Leistungs-Verhältnis der Sicherheitslösungen behindert für 42,6 Prozent der Unternehmen die Effektivität der Sicherheit. Obwohl die Hersteller von Sicherheitslösungen versuchen, den Bedrohungen immer eine Nasenlänge voraus zu sein, sind die Anwender mit den angebotenen Lösungen unzufrieden. Jeder vierte Befragte bemängelt unausgereifte Technologien seitens der Hersteller.
Meinung der Redakteurin
Diese Studie offenbart eklatante Fehler - und zwar bei allen Beteiligten. Die Hersteller bieten zu wenig problemorientierte Lösungen an, und die Unternehmen begnügen sich mit bloßen Lippenbekenntnissen zur IT-Sicherheit - aus Unwissenheit oder wegen Zeit- und Geldmangels. Also sollte der Fachhandel seine Kompetenz-Muskeln spielen lassen, die Kundenbedürfnisse recherchieren und die richtige Lösung maßschneidern.