MÜNCHEN (CW) - 86 Prozent der deutschen Rechenzentrumsbetreiber rechnen mit zunehmenden Gefahren für ihre Daten und Hardware. Die Bereitschaft zu Sicherheitsinvestitionen hat sich trotzdem kaum erhöht. Dies ergab eine Umfrage der "Zeitschrift für Kommunikations- und EDV-Sicherheit" (KES). Sie offenbart eine zum Teil erschreckende Sorglosigkeit.

50 Prozent mehr als 1988 wollen die befragten Unternehmen in diesem Jahr für die Sicherheit ihrer Datenverarbeitung ausgeben, im Durchschnitt über 1,2 Millionen Mark. Der Anteil dieser Investitionen am gesamten DV-Budget indes blieb nahezu gleich: 1988 waren es 5,0 Prozent, 1990 werden es 5,2 Prozent sein.

Bei der von KES zusammen mit der Cap Gemini Sesa Deutschland GmbH und der Züricher Versicherungsgesellschaft zum dritten Mal durchgeführten Enquete kamen bedenklich große Lücken in der DV-Sicherheit ans Licht. Alle Befragten berichteten von Schäden und sicherheitsrelevanten Pannen. In den meisten Fällen (in 84 Prozent der Unternehmen) waren Nachlässigkeit und Irrtum von Mitarbeitern sowie technische Defekte (67 Prozent) die Ursache. An die 30 Prozent der RZ-Leiter mußten sich allerdings bereits mit kriminellen Vorfällen - Manipulationen, Virusprogrammen, Hacking, Diebstahl, Spionage und Sabotage - herumschlagen.

Konsequenzen werden aus den schlechten Erfahrungen offenbar kaum gezogen: 70 Prozent der Unternehmen besitzen keine allgemein gültige Sicherheitsstrategie, 82 Prozent verfügen über kein Abstimm-, Sicherungs- und Kontrollsystem, 54 Prozent haben keinen Katastrophenabwehrplan. In 43 Prozent der Rechenzentren existiert noch nicht einmal eine Backup-Planung.

Ohne ein logisch geschlossenes und aktuelles Konzept nur 20 Prozent werden regelmäßig überprüft -, so KES, bleibt auch der praktische Nutzen von Sicherheitsmaßnahmen fragwürdig: Vorhandene Kontrollsoftware wird nicht eingesetzt, Paßworte werden jährlich oder gar nicht gewechselt, Logdateien nicht ausgewertet, Überprüfungen finden nicht oder nur sehr sporadisch statt.

Sicherheitsvorkehrungen finden sich häufig dort, wo sie die geringste Mühe machen, nicht aber dort, wo sie am nötigsten wären. So werden vor allem Endbenutzer und Anwendungsprogrammierer an der kurzen Leine gehalten (in 90 beziehungsweise 73 Prozent der Unternehmen), während die Rechte von Systemprogrammierern oder DB-Manager wesentlich seltener Beschränkungen unterliegen (48,5 beziehungsweise 40,5 Prozent).

Das größte Sicherheitsrisiko sind die PCs. In vielen Fällen, so die Untersuchung, bilden sie das Schlußlicht bei der Datensicherung. Obwohl sie in zunehmendem Maß direkten Zugriff auf den Host haben (im kaufmännischen Bereich zu 70 Prozent) sind sie nur in 23,5 Prozent der Betriebe Teil des Sicherheitskonzepts. Eine systematische Kontrolle ihres Einsatzes findet kaum statt. In 80 Prozent der Unternehmen gibt es nicht mal eine routinemäßige Virenüberprüfung neuer PC-Software.

Auch wenn 81 Prozent der Befragten behaupten, ein Sicherheitskonzept zu besitzen - in vielen Unternehmen scheint DV-Sicherheit immer noch eine Frage von Improvisation und Gottvertrauen zu sein. Gerade 33 Prozent haben geprüft, inwieweit ihre Verbundsysteme bei Teilausfällen funktionsfähig bleiben, und die Mehrheit vermag nicht zu sagen, wie es mit ihren Netzen im Katastrophenfall aussieht. Tatsache ist: 45 Prozent haben faktisch keine Ahnung, welche Folgen ein Ausfall der DV für ihr Unternehmen hätte.

Ein deutlich höheres Sicherheitsbewußtsein als die Deutschen haben offenbar die Schweizer. Die eidgenössischen Enquete-Teilnehmer geben mit durchschnittlich 15 Prozent des DV-Budgets fast dreimal so viel für den Schutz ihrer Datenverarbeitung aus. Bemerkenswert ist ein weiterer Unterschied: 62,5 Prozent gaben an, daß sie die Gehälter der Systemprogrammierer regelmäßig unter Motivations- und Bindungsaspekten überprüften. In Deutschland hält das nicht mal die Hälfte für nötig.