IT-Security im Jahr 2003

09.12.2003

Status und Trends bei Anwendern

Spätestens seit der Häufung von sicherheitsrelevanten Zwischenfällen in der Öffentlichkeit und den Ereignissen vom 11. September 2001 ist IT-Sicherheit in aller Munde. Die Aussagen der im Rahmen dieser Studie befragten deutschen Anwenderunternehmen sprechen für sich: 76 Prozent berichten von Schäden, die in den vergangenen zwei Jahren im eigenen oder bei ihnen bekannten Unter-nehmen entstanden waren. Dabei wurden vor allem Wiederherstellungskosten oder Umsatzverluste nach einem Systemausfall sowie der Verlust von Daten verursacht. Ebenfalls stark präsent sind Klagen über den unautorisierten Zugriff auf Daten sowie Missbrauch oder Manipulation von Daten.

Aus Sicht der befragten Unternehmen ist die Gefahr durch Virenbefall und "bösartigen" Code als eindeutig höchstes Sicherheitsrisiko zu bewerten. Weitere Gefahrenquellen sind nach Einschätzung der Anwenderorganisationen das unautorisierte Eindringen Fremder ins Unternehmensnetzwerk, insbesondere in Gestalt von Hackern ohne wirtschaftliche Interessen. Befürchtet werden außerdem die Manipulation oder Offenlegung von Transaktionen im Web und über Email sowie der Missbrauch von Benutzerrechten durch eigene Mitarbeiter ("Innentäter").

Diese Ergebnisse deuten prinzipiell auf eine hohe Sensibilisierung der deutschen Unternehmen in Hinsicht auf einzelne Sicherheitsthemen hin. Der Weg vom Lippenbekenntnis hin zur Ergreifung konkreter Sicherheitsmaßnahmen ist jedoch steinig. Trotz leicht erhöhten Sicherheitsbewusstseins auf Unternehmensebene vermisst die META Group bei den Anwenderorganisationen einen ganzheitlichen Blick auf die IT-Sicherheit. Die vorliegende Untersuchung zeigt, dass IT-Security in Deutschland vorwiegend als technisches und produktorientiertes Thema begriffen wird. Bei den organisatorischen Maßnahmen gibt es hingegen noch hohen Nachholbedarf.

IT-Sicherheitsorganisation in Unternehmen

Nur 25 Prozent der im Rahmen der vorliegenden Studie befragten Unternehmen verfügten Anfang 2003 über eine dedizierte IT-Sicherheitsorganisation im Unternehmen. Selbst große Unternehmen mit nmindestens 1.000 Mitarbeitern können in nur 53 Prozent der Fälle ein solches IT-Sicherheits-Team nvorweisen. Damit liegen sie noch weit von den 75 Prozent der großen Global-2000-Unternehmen entfernt, die nach Schätzungen der META Group bereits Ende 2001 eine Security-Organisation hatten. Auch bei der personellen Ausstattung der Unternehmen im Bereich der IT-Sicherheit gibt es bei den Unternehmen erheblichen Nachholbedarf.

Ähnlich sieht es hinsichtlich der Security Policy als Grundlage für IT-Sicherheits-Infrastrukturen aus: Während nur 48 Prozent der deutschen Unternehmen eine schriftlich fixierte Security Policy haben, sind 37 Prozent hier bislang untätig geblieben und haben auch keine entsprechende Planung für die Zukunft.

Dies hat unter anderem zur Folge, dass sich die "Security-Awareness" bei den Anwendern innerhalb der einzelnen Unternehmen nicht ausreichend entwickeln kann. Die vorliegende Untersuchung zeigt, ndass die deutschen Unternehmen gerade das geringe Sicherheitsbewusstsein der Anwender im Unternehmen als derzeit größtes Hemmnis für die Durchsetzung eines hohen Sicherheitsniveaus einschätzen. Außerdem fühlen sich die Verantwortlichen durch geringe Security-Budgets und die nschlechte Messbarkeit von Risiken beziehungsweise des Return on Investment (ROI) behindert, ngefolgt vom klassischen Thema "Personalmangel". Als weniger ausschlaggebend werden hingegen nunreife Sicherheitstechnologien, unsichere Server-Betriebssysteme und die gegebenenfalls nschwierige Integration von unterschiedlichen Produkten erachtet. Damit wird deutlich, dass die wahren nHemmnisse aus Sicht der Anwenderunternehmen nicht in erster Linie im technischen Bereich liegen, sondern vielmehr im Umfeld von Ressourcen, Prozessen und "weichen" Faktoren.

Bei der Entscheidungsfindung verfolgen die Anwenderunternehmen in der Regel einen reaktiven Ansatz. IT-Security wird heute seltener als "Enabler" für neue Angebote oder die Erschließung neuer Märkte gesehen. Als wichtigste Entscheidungsgrundlage für die Höhe der IT-Security-Investitionen nennen die befragten Anwenderunternehmen vielmehr rechtliche Rahmenbedingungen, dicht gefolgt von Erfahrungswerten aus vergangenen Sicherheitsproblemen im Unternehmen. Außerdem orientie-ren sich die Unternehmen an den Anforderungen der Partner und Kunden an IT-Sicherheit. ROI-Analysen und Risk Assessment werden primär durch Unternehmen mit mindestens 500 Mitarbeitern als Entscheidungsgrundlage herangezogen. Der hohe Stellenwert rechtlicher Rahmenbedingungen wie etwa Basel II, KonTraG, das Bundesdatenschutzgesetz und EU-Direktiven wird jedoch nach Meinung der META Group mittelfristig dazu führen, dass auch die Bedeutung des Risk Assessments steigen wird. Dieses dürfte künftig eine wichtige Komponente für die Umsetzung etwa von Basel II bilden.

Weitere Kapitel

Kommentare

Bitte beachten Sie unsere Informationen zum Datenschutz.

blog comments powered by Disqus

Autor

  • Wolfram Funk

Wolfram Funk ist als Consultant bei der META Group tätig.

Artikel einreichen

Top Artikel

  1. E-Book: Open Source CMS
  2. Optimierungsmaßnahmen für Online-Shops
  3. Website-Konzeption: Der Nutzer im Mittelpunkt
  4. TYPO3 im Detail
  5. Ist SEO überflüssig?

Unsere Experten

alle Experten

Premium Lösungen

Marktübersicht

Premium Services

Dienstleisterübersicht