silicon.de Studie IT-Security 2004

Immer mehr und immer neue Gefahren halten das IT-Personal beständig in Atem. Die Zahlen der silicon.de-Studie sprechen eine deutliche Sprache.

Es hat sich viel getan seit der ersten Studie von silicon.de zum Thema IT-Sicherheit, sowohl was die Security-Infrastruktur in Unternehmen betrifft als auch hinsichtlich des Gefahrenpotenzials, das Unternehmen bedroht. IT-Leiter und Geschäftsführer haben in den vergangenen drei Jahren gleichermaßen dazugelernt und investiert, doch einfacher ist die Gewährleistung eines reibungslosen Betriebs der eigenen Anwendungen deswegen nicht geworden. Das ergab eine von silicon.de durchgeführte Studie zum Thema Security, die jetzt auch als PDF (Link am Ende des Artkels) zur Verfügung steht.

Immer mehr, immer listigere und immer mehr neue Gefahren halten das IT-Personal beständig in Atem. Die Zahlen der silicon.de-Studie sprechen eine deutliche Sprache: Auf die Frage, welchen Gefahren die Befragten in den letzten 18 Monaten ausgesetzt waren, wird deutlich, wie sehr das Gefahrenpotenzial von außen zugenommen hat. Vor drei Jahren konnte noch jeder zehnte der Befragten von sich behaupten, mit keinerlei Sicherheitsproblemen belangt worden zu sein. In dieser glücklichen Lage war dieses Jahr nur jeder Hundertste. Der Virenplage ist beispielsweise kaum jemand entkommen: 94 Prozent der Befragten hatten damit zu kämpfen, 2001 waren es noch 79 Prozent.

Das Problem mit den Trojanischen Pferden ist in der Zwischenzeit doppelt so schlimm geworden, ebenso die Denial-of-Service-Attacken auf die Website des Unternehmens. Mit DoS-Angriffen wurden in den vergangenen 18 Monaten etwa 15 Prozent der Befragten konfrontiert, 2001 waren es nur 7 Prozent. Das zeugt mitunter von einer drastischen Zunahme des kriminellen Potenzials im Internet – auch im geschäftlichen Umfeld.

Die Verluste verringern sich

Immerhin scheinen die Auswirkungen der Attacken weniger Probleme zu verursachen als noch vor drei Jahren. Die Zahl derer, die einen Datenverlust zu verschmerzen hatten, ist von 36 auf 29 Prozent zurückgegangen, der Verlust der Systemintegrität von 14 auf 10 Prozent und die Manipulation von Anwendungen von 7 auf 4 Prozent. Das lässt darauf schließen, dass IT-Manager mit ihren Strukturen und Maßnahmen auf dem richtigen Weg sind, aber auch dass Hersteller von Anwendungssoftware dazugelernt haben. Bleibt nur zu hoffen, dass Plattformen wie Windows in künftigen Versionen weniger, vor allem aber weniger triviale Lücken aufweisen.

Als Gefahr wird Spam allerdings (noch) nicht sehr hoch eingeschätzt. Datenverlust bleibt die größte Sorge der IT-Manager, auch wenn in letzter Zeit die Wertigkeit der Gefahren, die von Viren und Trojanern ausgehen, stark aufgeholt hat.

Was macht eine effektive Sicherheitsstrategie aus? Ganz oben auf der Prioritätenliste der IT-Verantwortlichen steht die Sicherung des eigenen Netzwerkes. Dass die Fahrlässigkeit oder manchmal auch die Böswilligkeit des eigenen Personals ebenso gefährlich sein kann wie Attacken von außen, ist beim IT-Personal schon lange angekommen. Entsprechend wird das Schärfen des Sicherheitsbewusstseins der Kollegen, gepaart mit einer effektiven Zugangs- und Zugriffsüberwachung eine sehr hohe Priorität zugesprochen.

Technik allein reicht nicht

Die Verwendung verschiedener Technologiekomponenten für die Sicherung des eigenen Netzwerks hat in den vergangenen drei Jahren deutlich zugenommen. Zu den Gewinnern gehören vor allem VPNs (Virtual Private Networks), die nunmehr bei 63 Prozent der Befragten zum Einsatz kommen. Das ist doppelt so viel wie im Jahr 2001.

Ebenfalls verdoppeln konnte sich der Einsatz von Intrusion-Detection-Systemen (29 Prozent). Die noch etwas leistungsfähigere Variante der Einbruchsicherungssoftware, die Intrusion-Prevention-Systeme, kommen immerhin bei 14 Prozent der Befragten zum Einsatz.

Gute Steigerungen verzeichnen außerdem Verschlüsselungssoftware, Digitale Zertifikate (PKI) und Secure IDs. Die Nutzung von externen Trust-Centern bleibt jedoch mit einer Durchdringung von 10 Prozent weiterhin hinter den Erweiterungen vieler Experten zurück. Auch die biometrische Authentifizierung ist für die meisten Anwender nicht viel mehr als Zukunftsmusik.

Ein Vergleich zwischen mittelständischen (20 bis 499 Mitarbeiter) und Großunternehmen macht gravierende Unterschiede hinsichtlich der Verwendung von Security-Tools deutlich. Secure ID wird beispielsweise in 37 Prozent der befragten Großunternehmen verwendet, während es im Mittelstand gerade mal 10 Prozent sind. Offensichtlich durch diesen Vergleich wird auch, dass Großunternehmen wesentlich methodischer an das Thema Sicherheit herangehen, was mitunter durch die Nutzung von Auditing-Systemen bei 22 Prozent der Großunternehmen belegt wird, während das im Mittelstand nur bei 8 Prozent der Fall ist.

Noch gravierender sind die Unterschiede bei der Frage nach der Manifestation der eigenen Sicherheitsstrategie. Während 57 Prozent der befragten Großunternehmen eine schriftlich festgehaltene Richtlinie oder Strategie vorweisen können, sind im Mittelstand nur 28 Prozent der Unternehmen mit einer solchen ausgestattet. Immerhin gibt es bei zwei Dritteln der befragten Mittelständler schriftlich festgehaltene Regeln und Verbote. Einen Sicherheitsbeauftragten können drei von vier Großunternehmen vorweisen, im Mittelstand sind es dagegen nur 42 Prozent.

Es muss mehr Geld ausgegeben werden

Trotz des wachsenden Gefahrenpotenzials scheint es immer noch schwierig, innerhalb der Unternehmen mehr Geld für Sicherheit locker zu machen. 39 Prozent der befragten Unternehmen haben sich im vergangenen Jahr ein höheres Security-Budget gegönnt, bei 40 Prozent ist der Etat etwa gleich geblieben. Immerhin wurde das Budget nur bei 5 Prozent verringert.

Dennoch nehmen die Ausgaben für IT-Sicherheit im Vergleich zu 2001 einen höheren Anteil des IT-Budgets für sich in Anspruch. So gibt ein Drittel der befragten Unternehmen 5 bis 10 Prozent ihres Etats für Security aus – vor drei Jahren waren es noch 28 Prozent. Auch die Zahl der Unternehmen, die mehr als 15 Prozent bzw. mehr als 20 Prozent ihres IT-Budgets der Sicherheit widmet, hat sich deutlich gesteigert.

Dass Geld für IT und insbesondere für Sicherheit nicht leicht zu bekommen ist, belegt die Frage nach den Entscheidungswegen für die Genehmigung entsprechender Ausgaben. Investitionssummen ab 3500 Euro müssen bei zwei Drittel der befragten Mittelständler von der Geschäftsführung genehmigt werden.

Für die Genehmigung ihrer Investitionsanträge müssen IT-Leiter dabei regelrecht den Teufel an die Wand malen. Die Begründungen, die am häufigsten zu einer Unterschrift auf der Bedarfsmeldung führen, sind nach Aussage der Befragten die Gefahr weiterer Kosten durch Haftungsrisiken und die negative Auswirkung von Sicherheitslücken auf die eigenen Einnahmen.