Das ist das Ergebnis einer nicht repräsentativen Studie, die das Security-Fachmagazin "kes" mit finanzieller Unterstützung von Microsoft sowie weiteren Sicherheits-, Software- und Beratungsunternehmen erhoben hat. Für die "kes-Microsoft-Sicherheitsstudie 2008" sendeten zwischen Dezember und Mai 144 Sicherheitsverantwortliche aus Unternehmen und Behörden dem Fachblatt entsprechende Fragebögen zurück. Darunter befanden sich CISOs, Rechenzentrumsleiter, Revisoren, Datenschutzbeauftragte sowie Geschäftsführer für die Informations-Sicherheit. Das Studienergebnis wurde heute auf der Systems präsentiert.
Demnach bemängeln 55 Prozent der Befragten, dass Geschäftsführung und Vorstand keinen Sinn für die Sicherheitsbelange hätten und die zuständigen Abteilungen damit massiv in ihrer täglichen Arbeit behinderten. Die alle zwei Jahre vorgenommene Befragung stellt den deutschen Unternehmen so das mit Abstand schlechteste Zeugnis seit 1992 aus. 41 Prozent aller Vorstände hielten Security-Themen gar für "lästig", lediglich ein Viertel glaubt, dass die eigenen Geschäftsführer, Dienststellenleiter oder Vorstände Sicherheit als Mehrwert oder erstes Ziel in der Datenverarbeitung einschätzt. Für die mittlere Management-Ebene sehen noch 45 Prozent der Befragten fehlendes Sicherheitsbewusstsein.
Der Fisch stinkt vom Kopf
Richtig schlecht steht es um das Sicherheitsbewusstsein innerhalb der Belegschaft: 69 Prozent der Studienteilnehmer sprechen ihren Kollegen jegliche Awareness ab. Das Problem dürfe sich allerdings ohne das Sicherheitsbewusstsein und die Unterstützung aus den Führungsetagen nicht beheben lassen, heißt es in der Studie.
Standen in der vorangegangenen Studie im Jahr 2006 noch die fehlenden finanziellen Mittel für IT-Security ganz oben auf der Defizit-Liste, beklagen heuer noch 43 Prozent der Studienteilnehmer ihre Geldnot. Diese stammen vornehmlich aus kleinen und mittelständischen Unternehmen, deren Budgets zusammengestrichen wurden. Konzerne stellten dagegen deutlich mehr Geld und Personal für die IT-Sicherheit zur Verfügung als noch vor zwei Jahren.
Malware gefährlicher als DAUs
Jahrelang galt "Die Bedrohung kommt von innen", weil unwissende oder nachlässige Mitarbeiter selbst dafür sorgten, dass potenzielle Risiken heraufbeschworen wurden. In der aktuellen Befragung rangiert dieser Punkt nach etlichen Jahren nun wieder hinter "Malware". Von außen bereitgestellte und eingeschleuste Schadsoftware sieht die Mehrzahl der Befragten als gefährlicher an. Diese Angst scheint allerdings eher durch drastische Medienberichte als durch das tatsächliche Alltagsgeschäft begründet: Nur wenige Studienteilnehmer hatten in den zurückliegenden zwei Jahren Malware-Vorfälle zu beklagen - zu nennenswerten Schäden kam es dabei aber kaum.
Mobil besser geschützt
56 Prozent der Befragten hat nach eigenen Angaben auf mobilen Systemen wie Notebooks, Handys und Blackberrys eine Client-Firewall installiert, 50 Prozent verschlüsseln dort gespeicherte sensible Dateien. Der Einsatz von Authentifizierungsmechanismen ist weiter stark im Kommen, "Virenschutz only"-Software befindet sich im Niedergang - nur noch 68 Prozent haben mobil eine solche Lösung im Einsatz.
Trotz der verbesserten Situation hat mehr als die Hälfte der Teilnehmer in den vergangenen zwei Jahren Erfahrungen mit Datenverlusten machen müssen, die besonders durch Verlust und Diebstahl mobiler Systeme und Speichermedien begründet wurden. Letztere schätzen die meisten der Befragten als die unsicherste Peripherie von allen ein.
Multimedia ja, aktive Inhalte nein
56 Prozent der Studienteilnehmer haben ein Berechtigungskonzept für aktive Inhalte wie Javascript, ActiveX, Java und Flash im Browser implementiert. Auf allgemeine Beschränkungen für den Zugriff auf Multimedia- und Web-2.0-Angebote setzt hingegen nur knapp ein Drittel.
Vor Gericht will keiner
In puncto "Risikobewertung" verlassen sich die meisten der Befragten auf die bestehenden Gesetze, Vorschriften und Verträge - Stichwort "Compliance". Ein drohender Imageverlust für das Unternehmen und die mögliche Manipulation von geldwerten Informationen werden von ihnen als nicht ganz so relevant beurteilt. Trotz der Priorität der Compliance-Vorgaben sind einzelne Gesetze wie das für Kontrolle und Transparenz im Unternehmensbereich (KonTraG) aber nur 59 Prozent der Befragten bekannt.
Die Autoren der Studie weisen darauf hin, dass die Ergebnisse nur als Stichprobe angesehen werden können. Mutmaßlich stehe es um die IT-Sicherheit in deutschen Unternehmen im Allgemeinen noch schlechter, da bereits die Teilnahme an der Studie eine allgemeine Sensibilisierung der Befragten voraussetze.