|  |
IT-Security im Jahr 2003
Status und Trends bei Anwendern
Spätestens seit der Häufung von sicherheitsrelevanten Zwischenfällen in der Öffentlichkeit und den Ereignissen vom 11. September 2001 ist IT-Sicherheit in aller Munde. Die Aussagen der im Rahmen dieser Studie befragten deutschen Anwenderunternehmen sprechen für sich: 76 Prozent berichten von Schäden, die in den vergangenen zwei Jahren im eigenen oder bei ihnen bekannten Unter-nehmen entstanden waren. Dabei wurden vor allem Wiederherstellungskosten oder Umsatzverluste nach einem Systemausfall sowie der Verlust von Daten verursacht. Ebenfalls stark präsent sind Klagen über den unautorisierten Zugriff auf Daten sowie Missbrauch oder Manipulation von Daten.
Aus Sicht der befragten Unternehmen ist die Gefahr durch Virenbefall und "bösartigen" Code als eindeutig höchstes Sicherheitsrisiko zu bewerten. Weitere Gefahrenquellen sind nach Einschätzung der Anwenderorganisationen das unautorisierte Eindringen Fremder ins Unternehmensnetzwerk, insbesondere in Gestalt von Hackern ohne wirtschaftliche Interessen. Befürchtet werden außerdem die Manipulation oder Offenlegung von Transaktionen im Web und über Email sowie der Missbrauch von Benutzerrechten durch eigene Mitarbeiter ("Innentäter").
Diese Ergebnisse deuten prinzipiell auf eine hohe Sensibilisierung der deutschen Unternehmen in Hinsicht auf einzelne Sicherheitsthemen hin. Der Weg vom Lippenbekenntnis hin zur Ergreifung konkreter Sicherheitsmaßnahmen ist jedoch steinig. Trotz leicht erhöhten Sicherheitsbewusstseins auf Unternehmensebene vermisst die META Group bei den Anwenderorganisationen einen ganzheitlichen Blick auf die IT-Sicherheit. Die vorliegende Untersuchung zeigt, dass IT-Security in Deutschland vorwiegend als technisches und produktorientiertes Thema begriffen wird. Bei den organisatorischen Maßnahmen gibt es hingegen noch hohen Nachholbedarf.
IT-Sicherheitsorganisation in Unternehmen
Nur 25 Prozent der im Rahmen der vorliegenden Studie befragten Unternehmen verfügten Anfang 2003 über eine dedizierte IT-Sicherheitsorganisation im Unternehmen. Selbst große Unternehmen mit nmindestens 1.000 Mitarbeitern können in nur 53 Prozent der Fälle ein solches IT-Sicherheits-Team nvorweisen. Damit liegen sie noch weit von den 75 Prozent der großen Global-2000-Unternehmen entfernt, die nach Schätzungen der META Group bereits Ende 2001 eine Security-Organisation hatten. Auch bei der personellen Ausstattung der Unternehmen im Bereich der IT-Sicherheit gibt es bei den Unternehmen erheblichen Nachholbedarf.
Ähnlich sieht es hinsichtlich der Security Policy als Grundlage für IT-Sicherheits-Infrastrukturen aus: Während nur 48 Prozent der deutschen Unternehmen eine schriftlich fixierte Security Policy haben, sind 37 Prozent hier bislang untätig geblieben und haben auch keine entsprechende Planung für die Zukunft.
Dies hat unter anderem zur Folge, dass sich die "Security-Awareness" bei den Anwendern innerhalb der einzelnen Unternehmen nicht ausreichend entwickeln kann. Die vorliegende Untersuchung zeigt, ndass die deutschen Unternehmen gerade das geringe Sicherheitsbewusstsein der Anwender im Unternehmen als derzeit größtes Hemmnis für die Durchsetzung eines hohen Sicherheitsniveaus einschätzen. Außerdem fühlen sich die Verantwortlichen durch geringe Security-Budgets und die nschlechte Messbarkeit von Risiken beziehungsweise des Return on Investment (ROI) behindert, ngefolgt vom klassischen Thema "Personalmangel". Als weniger ausschlaggebend werden hingegen nunreife Sicherheitstechnologien, unsichere Server-Betriebssysteme und die gegebenenfalls nschwierige Integration von unterschiedlichen Produkten erachtet. Damit wird deutlich, dass die wahren nHemmnisse aus Sicht der Anwenderunternehmen nicht in erster Linie im technischen Bereich liegen, sondern vielmehr im Umfeld von Ressourcen, Prozessen und "weichen" Faktoren.
Bei der Entscheidungsfindung verfolgen die Anwenderunternehmen in der Regel einen reaktiven Ansatz. IT-Security wird heute seltener als "Enabler" für neue Angebote oder die Erschließung neuer Märkte gesehen. Als wichtigste Entscheidungsgrundlage für die Höhe der IT-Security-Investitionen nennen die befragten Anwenderunternehmen vielmehr rechtliche Rahmenbedingungen, dicht gefolgt von Erfahrungswerten aus vergangenen Sicherheitsproblemen im Unternehmen. Außerdem orientie-ren sich die Unternehmen an den Anforderungen der Partner und Kunden an IT-Sicherheit. ROI-Analysen und Risk Assessment werden primär durch Unternehmen mit mindestens 500 Mitarbeitern als Entscheidungsgrundlage herangezogen. Der hohe Stellenwert rechtlicher Rahmenbedingungen wie etwa Basel II, KonTraG, das Bundesdatenschutzgesetz und EU-Direktiven wird jedoch nach Meinung der META Group mittelfristig dazu führen, dass auch die Bedeutung des Risk Assessments steigen wird. Dieses dürfte künftig eine wichtige Komponente für die Umsetzung etwa von Basel II bilden. Lesen Sie das nächste Kapitel | | | weiter |  |
12/2003, Wolfram Funk
Wolfram Funk ist als Consultant bei der META Group tätig.
|
Kommentare zu diesem Beitrag | | |
Weitere Beiträge zu diesem Thema | | |
|  | | Die meisten Unternehmen spüren den zunehmenden Kostendruck und die steigenden Anforderungen an ihre Informationsmedien. Dringend benötigt werden daher nachhaltige Lösungen zur Modernisierung der Informationslogistik... | |  | | Jedes Projekt beginnt mit dem Briefing. Dafür gibt es leider keinen passenden deutschen Begriff. "Briefing" ist Englisch und bedeutet "Anweisung" oder "Lagebesprechung". Das Briefing legt das Fundament für jedes Konzept, deshalb ist es so wichtig... | |  | | Unter E-Payment, also der Bezahlung über das Internet, wird in dieser Studie der Transfer eines Geldbetrages verstanden, zu dessen Abwicklung alle für den Transfer notwendigen Daten, z.B. Name und Kontoinformationen, über das Internet übertragen werden... | |  | | Viele Betreiber von Websites meinen, es sei essentiell, dass ihre Seiten möglichst weit oben in den Trefferlisten der Suchmaschinen erscheinen. Doch das nur im Ansatz richtig. Stichwort: Suchmaschinenposition... | |  | | Der analytisch korrekten Erarbeitung und professionellen Darstellung des Markt- und Mitbewerberumfelds kommt eine äußerst wichtige Bedeutung zu. Sie können dadurch zeigen, dass Sie nicht nur Ihr augenblickliches Geschäft verstehen... | |
Beiträge aus anderen Themenbereichen | | |
|  | | Für viele Unternehmen ist eine BI-Lösung unverzichtbare Basis zentraler Geschäftsentscheidungen. Dabei kann BI vieles sein: von der einfachen Excel-Auswertung bis hin zur hochkomplexen IT-Lösung... | |  | | Das Suchmaschinen-Ranking ist für den Erfolg eines Online-Shops von entscheidender Bedeutung. Web-Hosting-Experte VERIO hat deshalb acht Tipps zusammengestellt, wie man seinen Shop suchmaschinenfreundlich gestalten kann... | |  | | "Wir bedienen keine Märkte – wir schaffen sie!" Was auf den ersten Blick recht provokant und pathetisch klingt, ist auf den zweiten Blick ein hervorragend geeigneter Ansatz, um das eigene Geschäftsmodell zu überprüfen... | |
| | | |
