silicon.de-Studie IT-Sicherheit: Ringen mit dem steigenden Aufwand

Das Gefahrenpotenzial steigt weiter – das ist die erste Erkenntnis der silicon.de-Studie IT-Sicherheit 2005. Mehr als 800 silicon.de-Leser nahmen an der Umfrage teil, quer durch alle Unternehmensgrößen und Branchen. Überwiegend handelte es sich bei den Teilnehmern um IT-Manager und anderen IT-Profis (68 Prozent).

Bei der Frage, mit welchen Gefahren die Befragten in den letzten 12 Monaten zu kämpfen hatten, belegte Spam den Spitzenplatz. Aus gutem Grund: Spam ist inzwischen als die beste Verbreitungsmethode für Schädlinge wie Viren, Trojaner oder Phishing-Mails identifiziert. Rund 90 Prozent der Befragten haben bestätigt, dass sie mit dem Problem im letzten Jahr konfrontiert wurden, 10 Prozent mehr als im Vorjahr.

Doch auch die ‘alten Bekannten’, Viren und Trojanische Pferde, sind weiter im Aufwind. Zwar ging die Penetrationsrate durch Viren von 94 auf 84 Prozent zurück, dafür stieg die Verbreitung von Trojanern von 42 auf 55 Prozent im Vergleich zum Vorjahr. Unterm Strich ergibt das eine Netto-Erhöhung dieses Gefahrenpotenzials, trotz der intensiven Nutzung von Antivirus-Tools.

Zugenommen haben auch DoS-Attacken (Denial of Service), von 15 Prozent im Vorjahr auf 18 Prozent in diesem Jahr. Das ist bemerkenswert, denn sie bedeuten nicht einfach einen Angriff auf die breite Masse der Computernutzer, sondern eine gezielte Attacke gegen eine bestimmte Website oder einen Internet Service Provider.

Hier kommt der neue Charakter der elektronischen Gefahren besonders deutlich zum Ausdruck. Wie auch Spam und Phishing sind DoS-Angriffe hauptsächlich dazu da, ihren Urhebern Geld zu verschaffen. Abgesehen von reinen Hass-Angriffen auf Firmen wie Microsoft und Google werden DoS-Attacken als Erpressungsinstrumente verwendet.

Besser gewappnet

Dennoch scheinen IT-Verantwortliche aus den Vorkommnissen der letzten Jahre ihre Lehren gezogen zu haben, denn die durch Angriffe oder Viren entstandenen Schäden sind deutlich zurückgegangen. Im Vergleich zum Vorjahr mussten nur halb so viele Befragte Schäden melden wie Datenverlust/Datenkorruption (von 29 auf 14 Prozent), Verlust der Systemintegrität (von 10 auf 4 Prozent), oder Manipulation von Systemprogrammen und Anwendungen (von 5 bzw. 4 auf 2 Prozent). Was besonders gut zu funktionieren scheint, ist inzwischen die Abschottung der Infrastruktur gegen Eindringlinge: Nur noch 2 Prozent der Befragten wurden durch einen unberechtigten Zugang in ihr Firmennetz behelligt, im letzten Jahr waren es noch 9 Prozent.

Die positive Entwicklung hat natürlich ihre Gründe, und der offensichtlichste liegt darin, dass die Security-Infrastruktur ausgebaut wird. Die Ausstattung mit Standards wie Antivirus-Software, Firewalls und automatischer Datensicherung war bereits in den vergangenen Jahren auf hohem Niveau. Investiert wurde im letzten Jahr besonders in Spam-Filter, Virtual Private Networks (VPNs), Content-Filterung, sowie in Mechanismen für die Authentifizierung der berechtigten Netzwerknutzer mittels Secure-ID/Token-Card oder Public Key Infrastructure (PKI).

Zu stagnieren scheint dagegen die Ausstattung mit Intrusion-Detection- bzw. Intrusion-Prevention-Systemen. Der Administrations- und Pflegeaufwand für solche Systeme wirkt für die meisten IT-Leiter vermutlich immer noch abschreckend. Die Funktionalität dieser Tools muss langsam ihren Weg in die existierende Sicherheitsinfrastruktur finden, um für eine größere Zielgruppe zugänglich zu werden.

Die Investitionen in Security-Tools hatten eindeutige Auswirkungen auf die Struktur der IT-Budgets. Noch immer geben zwar die meisten Anwender nicht mehr als 10 Prozent ihres IT-Budgets für die Sicherheit (Produkte, Dienstleistungen und Beratung) aus, doch der Anteil derer, bei welchen die Ausgaben für IT-Sicherheit 10 bis 15 Prozent oder gar 15 bis 20 Prozent ihres IT-Budgets ausmacht, steigt sehr schnell.

Am Schärfen des Sicherheitsbewusstseins der eigenen Mitarbeiter muss allerdings noch intensiver gearbeitet werden, denn sie sind nach einhelliger Meinung von Experten eine der größten Gefahrenquellen. Die dafür notwendigen Mittel scheinen aber noch nicht richtig verbreitet zu sein. Zwar werden die Mitarbeiter schriftlich oder mündlich auf den richtigen Umgang mit der Informationstechnologie hingewiesen, doch zu häufig fehlt für diese Kommunikation noch das richtige Fundament in Form einer umfassenden Richtlinie. Nur etwa 40 Prozent der Befragten gaben an, ein solches Papier für die interne Kommunikation einzusetzen.

Neue Gefahren

Auf die Frage, welche neuen Gefahren die Befragten in nächster Zeit am meisten beschäftigen werden, identifizierten 69 Prozent von ihnen Spam als die größte Plage. Mittlerweile macht Spam etwa zwei Drittel des gesamten Mail-Verkehrs weltweit aus – und das einzige Gegenmittel sind leider immer noch Spam-Filter, die von den Anwendern gekauft und verwaltet werden müssen. Versuche, sich auf eine Technik zur eindeutigen Identifizierung der Müllschleudern zu einigen, sind bis dato kläglich gescheitert.

Als zweitgrößte Gefahr wurde von den Befragten der Missbrauch von USB-Komponenten wie Memory-Sticks, MP3-Player und externe Festplatten genannt. Diese Geräte werden vor allem in der Hand des eigenen Personals zur tückischen Gefahrenquelle, denn sie sind damit in der Lage, darüber Viren ins Netzwerk einzuschleppen oder vertrauliche Daten in großen Mengen zu kopieren. Tools, über welche die Nutzung von USB-Komponenten an Arbeitsplatzrechnern kontrolliert werden kann, haben noch eine sehr geringe Verbreitung.