01.05.2007 | Redakteur: Andreas Donner
Wie es um die IT-Sicherheit in mittleren und großen Firmen hierzulande bestellt ist, wollten Damovo, Decru und Nortel Networks genau wissen und beauftragten das Marktforschungsunternehmen Berlecon Research mit der Nachfrage bei über 100 Unternehmen mit mehr als 500 Mitarbeitern. Ergebnis: Punktlösungen statt einheitlicher Konzepte kennzeichnen das Bild.
Noch fehlt vielerorts in deutschen Unternehmen ein übergreifendes ITK-Sicherheitskonzept, das die Bereiche Technologie, Organisation und Mitarbeiter ganzheitlich betrachtet. Statt End-to-End-Konzepten dominieren bei der ITK-Sicherheit Punktlösungen. Segmente mit Nachholbedarf, beispielsweise mobile Endgeräte, bilden daher ein beachtliches Sicherheitsrisiko.
Auch wenn in Einzelbereichen die technischen Sicherheitsmaßnahmen recht gut umgesetzt sind: Insbesondere bei der organisatorischen und rechtlichen Absicherung der technischen Maßnahmen hapert es noch. Dies sind einige der zentralen Ergebnisse der Studie „ITK-Sicherheit auf dem Prüfstand – Ganzheitliche Konzepte und ihre Umsetzung in deutschen Unternehmen“.
Berlecon Research befragte dazu mehr als 100 CIOs und ITK-Leiter in Unternehmen mit mindestens 500 Beschäftigten. Die Studie liefert eine Bestandsaufnahme der wichtigsten Sicherheitsthemen in deutschen Unternehmen. Sie beleuchtet Herausforderungen und Erfahrungen in der Planung und Umsetzung von Sicherheitskonzepten – technologisch und organisatorisch. Im Mittelpunkt der technologischen Aspekte standen Fragen nach den eingesetzten Sicherheitsmaßnahmen bei Servern, Storagesystemen, Netzwerken und mobilen Endgeräten sowie der Integration der Sicherheitskomponenten.
Zu Einzelaspekten der ITK-Security liegt bereits eine Vielzahl von Ergebnissen im Markt vor. Das besondere an dieser Umfrage: Es gibt erstmals eine ganzheitliche Analyse der ITK-Security vom Rechenzentrum bis zu mobilen Endgeräten. Initiiert wurde die Studie vom ITK-Systemintegrator Damovo, dem Storage-Security-Spezialisten Decru und Nortel, einem führenden Anbieter von sicheren Kommunikationslösungen.
Eines der wichtigsten Ergebnisse: Einheitliche und umfassende Security-Richtlinien haben erst 54 Prozent der Befragten vollständig umgesetzt und Compliance-Vorschriften lediglich 43 Prozent. Regelmäßige Sicherheitsschulungen – eine der wichtigsten Voraussetzungen für eine wirksame ITK-Security – führen ebenfalls lediglich 43 Prozent durch. Auch haben erst 57 Prozent Maßnahmen ergriffen, die ein reibungsloses Zusammenspiel der im Einsatz befindlichen technischen Sicherheitskomponenten ermöglichen.
Der überwiegende Teil der Befragten hat bereits Maßnahmen zum Schutz vor unberechtigten Datenzugriffen von außen getroffen. 79 Prozent der Befragten verschlüsseln zum Beispiel den Datenverkehr oder planen dies. Aber nur 30 Prozent der Unternehmen, die VoIP nutzen, verschlüsseln den Sprachverkehr oder planen dies. In den Unternehmensnetzen sind die Daten demnach besser geschützt als die Sprache.
Bei der Beurteilung aktueller Sicherheitsrisiken stehen „alte Bekannte“ wie Malware, Trojaner, Viren und Würmer an erster Stelle. Auf Platz zwei folgt Spam und auf dem dritten Platz liegen gezielte Angriffe auf die Verfügbarkeit der ITK-Systeme. Bemerkenswert in dem Zusammenhang: Für 47 Prozent der Befragten bilden die unberechtigten Zugriffe der eigenen Mitarbeiter auf unternehmenskritische Datenbestände ein ernstzunehmendes Sicherheitsrisiko. Zugespitzt formuliert: Der Schutz vor den eigenen Mitarbeitern darf kein Tabu sein.
Handlungsbedarf sehen die Unternehmen aber auch bei der Sicherheit mobiler Endgeräte und der Verschlüsselung externer Datenträger wie USB-Sticks.
Immerhin 11 Prozent der Befragten sehen in Consumer-Technologien wie Skype ein „sehr hohes Risiko“, 18 Prozent bezeichnen das Risiko als „hoch“. Die Begründung: Ohne dass die IT-Abteilung davon etwas weiß, können Mitarbeiter zum Beispiel Skype völlig außerhalb aller Security-Konzepte nutzen.
Einen weiteren Unsicherheitsfaktor bilden mobile Endgeräte: 10 Prozent schätzen das Sicherheitsrisiko für ihr Unternehmen als „sehr hoch“ ein, weitere 32 Prozent als „hoch“. Die Mobilität von Mitarbeitern und die damit verbundenen Geschäftsprozesse werden demnach als beachtliches Risiko wahrgenommen. Das geringste Risikobewusstsein haben die ITK-Verantwortlichen in Bezug auf IP-basierte Telefonie („sehr hohes Risiko“: 7%) und die Übertragung von Daten und Sprache über drahtlose Netze („sehr hohes Risiko“: 6%).
„Trotz aller Fortschritte gehen Unternehmen in einigen Bereichen der ITK-Security ziemlich fahrlässig mit wichtigen Daten um. Das gilt nicht nur für mobile Speichergeräte, sondern auch für die internen Storagesysteme“, kommentiert Roland Schneider, District Manager Central and Eastern Europe bei Decru in Düsseldorf. „Nicht nur beim Schutz sensibler Daten gegen Angriffe von außen, sondern auch bei einer möglichen missbräuchlichen Nutzung durch nicht autorisierte Mitarbeiter bedarf es erheblicher technischer und organisatorischer Anstrengungen, damit Unternehmen sich sicher fühlen können. Administrations- und Nutzungsrechte für Daten müssen klar voneinander getrennt sein.“
Solche Aspekte finden in der ITK-Sicherheitsdiskussion bislang zu wenig Beachtung. Die einmalige Installation technischer Sicherheitsmaßnahmen wie Virenscanner, Firewalls oder von Systemen zum zentralen Gerätemanagement bringt wenig, wenn sie nicht durch organisatorische Maßnahmen abgesichert wird.
Gefragt wurde schließlich auch nach der Entwicklung der Sicherheitsbudgets. Fast die Hälfte aller Unternehmen (47%) plant, 2008 mehr Geld für ITK-Security auszugeben. Auffallend ist, dass 53 Prozent der kleineren Unternehmen (der Studie zufolge solche mit 500 bis 999 Mitarbeitern) ihr Budget erhöhen wollen. Bei Unternehmen mit mehr als 1.000 Mitarbeitern sind es lediglich 39 Prozent.
„Steigende Budgets sind ein wichtiger Indikator dafür, dass Unternehmen mehr in ITK-Security investieren wollen und das Thema höhere Priorität genießt als bislang. Auch wenn technisch bereits vieles getan wurde, bedarf es einer kontinuierlichen Aktualisierung der Security-Einrichtungen“, sagt Martin Böker, Business Leader Enterprise Central Europe bei Nortel in Frankfurt am Main.
Christoph J. Ferdinand, Geschäftsführer von Damovo in Deutschland, ergänzt: „Noch gibt es in den Unternehmen kein einheitliches Schutzniveau auf allen Ebenen der ITK-Infrastruktur. Auch wenn die technischen Maßnahmen recht weit fortgeschritten sind, gibt es noch beträchtliche Lücken, speziell im Bereich der mobilen Endgeräte. Den größten Nachholbedarf sehen wir bei der Umsetzung organisatorischer und rechtlicher Maßnahmen. Compliance-Vorschriften sind hier nur ein Beispiel. Mindestens ebenso wichtig sind regelmäßige Schulungen, um das Risikobewusstsein aller Mitarbeiter zu schärfen.“
Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2004362)
