Auch wenn in Einzelbereichen die technischen Sicherheitsmaßnahmen recht gut umgesetzt sind: Insbesondere bei der organisatorischen und rechtlichen Absicherung der technischen Maßnahmen hapert es noch. Dies ist eines der zentralen Ergebnisse einer aktuellen Studie zum Thema ITK-Sicherheit von Berlecon Research. Das Berliner Analysten- und Beratungshaus befragte im Auftrag von Damovo, Decru und Nortel mehr als 100 CIOs und ITK-Leiter in deutschen Unternehmen mit mindestens 500 Beschäftigten. Das Besondere an dieser Umfrage: Es gibt erstmals eine ganzheitliche Analyse der ITK-Security vom Rechenzentrum bis zu mobilen Endgeräten.
Interessant ist bei der Auswertung der Ergebnisse zunächst, dass die IT-Verantwortlichen die spezifischen Risiken von aktuellen Trends für ihr Unternehmen geringer einschätzen als im Allgemeinen. Die Nutzung mobiler Endgeräte durch Mitarbeiter stellen dabei für sie mit Abstand (42 Prozent) das höchste Sicherheitsrisiko dar, gefolgt von den Gefahren durch die Auslagerung von ITK-Bereichen an externe Dienstleister (30 Prozent).
Bei der Beurteilung aktueller Bedrohungen liegen "alte Bekannte" wie Malware, Trojaner Viren und Würmer klar vorne, gefolgt von Spam und gezielten Angriffen auf die Verfügbarkeit der ITK-Systeme. Das Risiko durch Abhören von VoIP-Telefonaten wird von den Firmen, die diese Technik bereits einsetzen (immerhin rund die Hälfte der Befragten), dagegen als nur gering eingeschätzt - noch, wie Berlecon-Geschäftsführerin Nicole Dufft anmerkt: Bislang habe es nur noch keinen großen Missbrauchsfall gegeben. (Zumindest die einschlägigen Hersteller dürften schon sehnsüchtig auf den Tag X warten.)
Ihren Vertrauensvorschuss bereits aufgebraucht haben dafür offenbar die Angestellten. Knapp 30 Prozent der Unternehmen fürchten die unkontrollierte Einführung von Consumer-Techniken wie Skype durch Mitarbeiter. Deutlich mehr, nämlich 61 Prozent der Firmen sehen zudem eine zentrale Herausforderung in der Einhaltung von Sicherheitsvorgaben durch Mitarbeiter. Doch es kommt noch dicker: Laut Erhebung stellt der unberechtigte Zugriff der eigenen Mitarbeiter auf unternehmenskritische Datenbestände ein höheres Risiko dar als der durch Hacker oder externe Dienstleister. Möglicher Grund für diese Einschätzung ist ein Nachholbedarf im Bereich innere Sicherheit - während der überwiegende Teil der Befragten bereits Maßnahmen für den Schutz vor unberechtigten Datenzugriffen von außen getroffen hat. Daneben besteht aber auch das Problem, die zu Schutz von innen erforderlichen Maßnahmen technisch und organisatorisch umzusetzen. So räumten etwa mehr als die Hälfte der Befragten ein, dass es Probleme bei der Trennung von Admin- und Zugriffsrechte gebe.
Wenngleich 65 Prozent der befragten Unternehmen die von ihnen umgesetzten Sicherheitskonzepte für ausreichend befinden, sind nicht alle Bereiche gleich gut geschützt. So verschlüsseln 79 Prozent der Studienteilnehmer den Datenverkehr oder planen dies zumindest. Andererseits verschlüsseln nicht einmal ein Drittel der Unternehmen, die VoIP nutzen, den Sprachverkehr oder haben dies in der Pipeline. Handlungsbedarf besteht auch bei der Sicherheit lokaler Daten auf mobilen Endgeräten und der Verschlüsselung externer Datenträger wie USB-Sticks. Eine weitere Schwachstelle stellen laut Untersuchung die internen Storage-Systeme dar: Während Server einen guten Schutz gegen Angriffe von außen aufwiesen, verschlüsseln nur wenige Unternehmen auf Massenspeichern.
Den größten Nachholbedarf machten die Analysten von Berlecon bei der Umsetzung von rechtlichen und organisatorischen Sicherheitsmaßnahmen aus: Einheitliche und umfassende Security-Richtlinien haben erst 54 Prozent der Befragten vollständig umgesetzt, Compliance-Vorschriften lediglich 43 Prozent. Regelmäßige Sicherheitsschulungen - eine der wichtigsten Voraussetzungen für eine wirksame ITK-Security - führen lediglich 43 Prozent durch. Auch haben erst 57 Prozent der Unternehmen Maßnahmen ergriffen, die ein reibungsloses Zusammenspiel der im Einsatz befindlichen technischen Sicherheitskomponenten ermöglichen.
Das für Verbesserungen benötigte Geld ist offenbar vorhanden: Obwohl das Sicherheits-Budget bereits einen signifikanten Anteil der ITK-Investitionen ausmacht, plant fast die Hälfte aller Unternehmen, 2008 mehr Geld für ITK-Security auszugeben. Auffallend ist dabei, dass vor allem viele kleinere Unternehmen (53 Prozent) ihr Sicherheits-Budget erhöhen wollen. Bei Unternehmen mit mehr als 1000 Mitarbeitern sind es lediglich 39 Prozent. (mb)
