computerwoche.de

Archiv

Experten erwarten Verdopplung der Ausgaben für IT-Sicherheit

19.02.2007
Von Dorothea Friedrich
Die Gefahren für die Datennetze europäischer Unternehmen und Privatanwender steigen ständig. Gefälschte E-Mails, deren Absender das Bundeskriminalamt, die Gebühreneinzugszentrale (GEZ) oder der Telekommunikationsunternehmen 1&1 gewesen sein sollten, waren wohl nur der Auftakt. „Die Internet-Gefahren nehmen sowohl in Quantität als auch in Qualität deutlich zu", sagte Michael Hange, Vizepräsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI).

Einer Umfrage der Nationalen Initiative für Internetsicherheit (Nifis) zufolge werden deutsche Unternehmen deshalb bis 2011 ihre Ausgaben für die Informationssicherheit deutlich erhöhen. Knapp ein Viertel der Befragten geht demnach davon aus, dass die ihre Budgets für IT-Sicherheit um 50 Prozent aufstocken. 18 Prozent wagen die Prognose, dass sich die Ausgaben in diesem sensiblen Bereich sogar verdoppeln. „Das ist ein erfreuliches Ergebnis, auch wenn die in Kraft getretenen Richtlinien zu Basel II diesen Umstand sicherlich begünstigen und nicht alle Unternehmen aus Überzeugung in die Sicherheit investieren", kommentiert Nifis-Vorstandsvorsitzender Peter Knapp.

Bei vielen Unternehmen steht die Aufklärung und Schulung von Mitarbeitern sowie die Etablierung einer unternehmensweiten Security-Policy mit entsprechenden Verhaltensregeln im Fokus, so die Teilnehmer der Untersuchung. Die Studie hatte unter anderem ermittelt, dass nach Ansicht der Befragten derzeit die größte Gefahr für die Informationssicherheit eines Unternehmens von den eigenen Angestellten ausgeht. Trotzdem glauben nur 30 Prozent der Branchenkenner, dass die Verantwortung der IT-Sicherheit in deutschen Unternehmen formell geregelt ist und es dazu auch schriftliche Regeln gibt. „Hier besteht definitiv noch Nachholbedarf. Zumindest die mittelständischen und großen Unternehmen sollten einen schriftlichen Verhaltenscodex etablieren, der den Umgang mit Daten verbindlich regelt", so Nifis-Chef Knapp. 79 Prozent der Befragten gehen außerdem davon aus, dass Betriebe in Zukunft Maßnahmen zur Gewährleistung der Informationssicherheit durch eine neutrale Institution überprüfen und zertifizieren lassen. 48 Prozent antworteten auf die entsprechende Frage mit einem klaren „ja". Von Vorteil ist dabei, dass eine neutrale Instanz die Sicherheitsvorkehrungen und Prozesse auf Lücken testet. Die Bestätigung eines hohen Grades an Sicherheit hat außerdem eine sehr starke Außenwirkung. Zudem sei auf diese Weise eine permanente Überprüfung der eingesetzten Sicherheitsvorkehrungen sowohl in technischer wie auch in organisatorischer Hinsicht gewährleistet, so die Initiative.

Allerdings gibt es eine gravierende Einschränkung: Mitarbeiter sind immer öfter Ursache dafür, dass auch wertvolle und vertrauliche Unternehmensinformationen ungeschützt dem Zugriff Unbefugter ausgesetzt sind. Ein Großteil der Ursachen für Attacken auf das eigene Netzwerk ist nämlich im eigenen Unternehmen zu finden. Das können sowohl beabsichtigte Manipulationen von Mitarbeitern sein, aber auch durch Nachlässigkeiten und Unwissenheit verursachte Schäden. Das bestätigt auch eine Studie des Softwarespezialisten McAfee. Der Untersuchung zufolge bleiben Investitionen in Lösungen zum Schutz von Geschäftsdaten vor externen Bedrohungen und Hackerattacken häufig deshalb unwirksam, weil eine vollständige interne Kommunikation der unternehmensspezifischen Sicherheitsvorgaben nicht gelingt und weil sich Mitarbeiter allzu sorglos verhalten. Die Ergebnisse zeigen auch, dass 37 Prozent der befragten Unternehmen in Europa keine festen Regeln für den Umgang mit vertraulichen Daten haben.