Vom IT-Manager zum Abwehrchef

Die silicon.de-Studie ‘IT-Sicherheit 2006’ attestiert den IT-Verantwortlichen eine neue Rolle. Externe und interne Gefahren zwingen sie dazu, auf Kosten der Produktivität den Abwehrchef zu geben.

Der Begriff IT-Management beschreibt eine meist produktive Tätigkeit. Allerdings hat das Thema Sicherheit in den vergangenen Jahren die Verantwortlichen mit derart vielen Aufgaben mit defensivem Charakter belegt, dass sie sich langsam mit Fug und Recht in der Rolle eines Abwehrchefs sehen. Sie organisieren die Abwehr gegen interne und externe Böswilligkeit, den Leichtsinn der eigenen Mitarbeiter, die Ignoranz ihrer Geschäftsleitung und nicht zuletzt gegen die schlechte und unsichere Software ihrer Systeme und Anwendungen. Zu diesem Ergebnis führt die Auswertung der jährlichen Umfrage von silicon.de zum Thema IT-Sicherheit, die in diesem Jahr zum fünften Mal durchgeführt wurde.

Entwicklung des Gefahrenpotenzials

Das Gefahrenpotenzial hat sich im Vergleich zu den letzten fünf Jahren stabilisiert, jedoch auf einem sehr hohen Niveau (eine Auswahl der Charts sehen Sie in der Bildstrecke oben). Die Position des Spitzenreiters als die am häufigsten auftretende Gefahrenquelle nimmt zum zweiten Mal hintereinander Spam ein, noch vor den Viren und den Trojanern. Kein Wunder, denn manchmal reicht ein einfacher Klick eines Anwenders auf einen gefährlichen Link, um ein ganzes Netz zu verseuchen. Etwa 89 Prozent der Befragten hatten in den vergangenen zwölf Monaten mit Sicherheitsproblemen durch Spam zu kämpfen, 78 Prozent mit Viren und 45 Prozent mit Trojanern.

Letztere zwei sind in ihrer Entwicklung rückläufig. Fast verdoppelt haben sich indes die Angriffe der Phisher (46 Prozent), wobei es hier dasselbe Gefahrenpotenzial anzunehmen gilt wie bei Spam: Phishing ist nicht immer ein leicht zu durchschauender Betrugsversuch in holprigem Deutsch. Oft werden über sie nur Spionageprogramme installiert, die zu einem späteren Zeitpunkt den Nutzer aushorchen sollen.

Rückläufig sind auch die Denial-of-Service-Attacken mit einer Häufigkeit von 14 Prozent (Vorjahr: 18 Prozent). Allerdings ist deren Stand immer noch viel zu hoch, wenn man berücksichtigt, dass es sich hierbei um gezielte Attacken auf einzelne Websites handelt.

Erfreulich: Trotz des hohen Gefahrenpotenzials hat man inzwischen gelernt, sich besser vor den Auswirkungen von Attacken zu schützen. Der Verlust der Systemintegrität sowie die Manipulation von Anwendungen und Systemprogrammen sind seit zwei Jahren deutlich rückläufig. Dafür nimmt die Verbreitung illegaler Inhalte im eigenen Netz (11 Prozent) kontinuierlich zu und fast jeder zehnte der Befragten musste einen unberechtigten Zugang in sein Netzwerk eingestehen.

Neue Gefahren

Auf die Frage, welche neuen Gefahren die Befragten in nächster Zukunft am meisten beschäftigen werden, belegt Spam mit 69 Prozent abermals die Spitzenposition. Dicht dahinter folgen Memory-Sticks, MP3-Player und andere USB-basierte Komponenten mit 55 Prozent, gefolgt von Phishing-Angriffen, unsicheren WLAN-Zugängen und mobilen Geräten wie PDAs und Smartphones.

Ein differenzierter Blick auf diese Statistik ergibt, dass die verschiedenen Gefahren sehr unterschiedlich wahrgenommen werden, je nachdem wie groß das Unternehmen ist, bei dem die Befragten tätig waren. Kleinunternehmen (bis 49 Mitarbeiter) zum Beispiel schätzen die Gefahr durch USB-basierte Speicher nur knapp halb so hoch ein wie der Mittelstand (50 bis 500 Mitarbeiter) oder Großunternehmen. Dasselbe gilt für die Einschätzung von PDAs und Smartphones als Gefahrenquellen.

Hier liegt oft die eigentliche Gefahr für die IT-Sicherheit, nämlich das nicht rechtzeitige Erkennen von Gefahren und das Etablieren von Abwehrmechanismen. Denn ausgerechnet Kleinunternehmen haben erfahrungsgemäß die lockersten Richtlinien für die Benutzung von Clients. Dass nur verhältnismäßig wenigen IT-Verantwortlichen in Kleinunternehmen klar ist, welches Gefahrenpotenzial USB-Sticks bezüglich des Einschleppens von Malware und Datenklau bergen, ist alarmierend.

Technische Ausstattung

Der Trend zur immer besseren Ausstattung der eigenen Infrastruktur mit Sicherheits-Tools hält weiter an. Davon zeugen nicht nur die Resultate unserer Umfrage, sondern auch das seit einem Jahrzehnt anhaltende zweistellige Wachstum in der Security-Branche. Zwar ist das Gefälle zwischen dem Ausstattungsgrad von Großunternehmen und dem Mittelstand und KMUs immer noch groß, doch nicht jedes Kleinunternehmen braucht unbedingt ein VPN oder wird es als sinnvoll empfinden, sich ein Intrusion-Detection-System zuzulegen.