Viren, Würmer, kriminelle Mitarbeiter: Firmen versagen bei der Vorsorge
Hamburg (ots)
Die Sicherheit in der Informationstechnologie (IT) ist ein Top-Thema der CeBIT 2003 - neben drahtlosen Netzwerken (WLAN) und kosteneffizienten Softwarelösungen. Das ergab eine aktuelle Befragung von Mummert Consulting unter den IT-Ausstellern der Computermesse. Das Bewusstsein für das Thema IT-Sicherheit wächst. Endlich.
Bisher haben Angreifer oft leichtes Spiel, denn deutsche Firmen sorgen nur mangelhaft vor. Viele schließen nicht einmal bekannte Sicherheitslücken. Jüngstes Beispiel: der so genannte Slammer-Wurm. Er nutzte Ende Januar ein bekanntes Sicherheitsleck in einer Microsoft-Datenbank aus und zwang schätzungsweise mehr als 100.000 Server weltweit in die Knie. Das Sicherheitsproblem war bereits seit Mitte 2002 bekannt - nur hatten viele Administratoren darauf nicht reagiert. Die meisten Angriffe zielen nämlich auf altbekannte Fehler: Nur 14 Prozent nutzen Schwachstellen, die Experten nicht kennen. Die nahe Zukunft verspricht kaum Verbesserungen: IT-Sicherheit wird als technisches Problem wahrgenommen und deshalb allzu oft an die Fachabteilung delegiert. Sie wird weiterhin nur dann zur Chefsache, wenn Angriffe auf IT-Systeme zu nennenswerten Schäden führen. In weniger als jedem fünften Unternehmen widmet sich die Geschäftsleitung diesem Thema. Dies hat eine Umfrage der Informationweek ergeben, die von Mummert Consulting ausgewertet wurde.
Die Angriffe gegen die Informationstechnologie (IT) haben in den letzten Jahren stark zugenommen. Fast 60 Prozent der Unternehmen in Deutschland sind bereits Opfer von Saboteuren oder Hackern geworden. Laut einer Studie der US-Heimatbehörde stieg die Anzahl der bekannten Sicherheitslücken in den vergangenen zwei Jahren fast um das Vierfache - von 1.090 auf 4.129. In Deutschland verdoppelte sich die Anzahl der Delikte mit Computern. Waren es 1999 noch gut 40.000 Fälle, so zählte das Bundeskriminalamt im Jahr 2001 bereits fast 80.000 Straftaten, Tendenz steigend. Die größte offene Flanke vieler Unternehmen sind zurzeit Schwachstellen im Betriebssystem. Mehr als ein Drittel aller Angriffe erfolgt auf diesem Wege. Bedenklich: Jedes zehnte Unternehmen hat keine Ahnung, wie die Attacken durchgeführt wurden. Dies ergab eine Studie der Informationweek, die mit Unterstützung von Mummert Consulting ausgewertet wurde. Zunehmend gefährlicher für die IT-Sicherheit werden eigene Mitarbeiter. Schon heute sind sie für fast ein Viertel der Sicherheitslücken verantwortlich. Der Grund: Sie können mit den Systemen nicht umgehen, verursachen so vermeidbare Fehler. Zu den Fehlern aus Unwissenheit tritt böser Wille: Zwei von drei Angriffen gehen auf das Konto der Mitarbeiter. Davon gehen die Experten von Mummert Consulting aus. Die Gründe sind vielfältig: Der Beschäftigte hat sich beispielsweise über Vorgesetzte oder Kollegen geärgert, ist unzufrieden mit der Entlohnung oder seiner Position.
Vier von fünf Unternehmen rechnen mit einem weiteren Anstieg der Kriminalität im IT-Bereich. Und auch, wenn die Sicherheit das Top-Thema der CeBIT ist: In den Chefetagen ist die Aufmerksamkeit für dieses Thema bislang verhalten. In drei von fünf Firmen ist die IT-Abteilung für Sicherheitsmaßnahmen verantwortlich. Nur je acht Prozent der Firmen beschäftigen einen Chief Information Officer (CIO) oder einen Datenschutzbeauftragten. Einen Chief Security Officer (CSO) leisten sich nur 1,3 Prozent der Unternehmen. Gleichzeitig bekunden deutsche Unternehmen, dass ihre Sensibilität für die IT-Sicherheit zugenommen habe. Auf einer Skala von eins bis zehn bewerten Entscheider sie mit acht und bewilligen ihrer IT-Fachabteilung mehr Geld für den Kampf gegen Viren, Würmer und Hacker. Über die Budgetfrage hinaus ist die Bereitschaft des Top-Managements, sich intensiv und detailliert mit der IT-Sicherheit zu beschäftigen, auch in der Zukunft nur begrenzt ausgeprägt. Die wachsenden Budgets spiegeln sich in der aktuellen CeBIT-Ausstellerbefragung wider: IT-Sicherheit ist ein Top-Thema. Die Investitionen fließen vor allem in die Abwehr von Viren (56,3 Prozent) und in die Sicherheit der Betriebssysteme (53,9 Prozent).
Damit realisieren deutsche Firmen wichtige Mosaiksteinchen zum Schutz ihrer Computersysteme. Die intelligente Verknüpfung der einzelnen Schutzmaßnahmen zu einem mehrschichtigen Sicherheitsnetz, das Gateways, Server und Clientrechner schützt, wird unterdessen selten geleistet.
Die Maßnahmen für mehr Sicherheit gleichen in vielen Fällen wildem Aktionismus. Denn: Viele Unternehmen leiten konkrete Abwehrmaßnahmen ein, ohne vorher einen Risiko-Check durchzuführen. Wurzel dieses Problems ist die Tatsache, dass viele Firmen kein konsequentes IT-Management betreiben und keinen verantwortlichen Entscheider mit dieser Aufgabe betrauen. Mitarbeiter in dieser Position würden zum Beispiel dafür sorgen, dass Risiko-Assessments oder Sicherheitstests regelmäßig durchgeführt werden. Das plant bisher nur jedes fünfte Unternehmen. Die Folge: Schwachstellen bleiben unerkannt. Ob ergriffene Maßnahmen also tatsächlich erfolgreich sind, ist vielfach nicht sicher.
Dabei werden die Firmen inzwischen von höchsten Stellen aufgefordert, sich aktiv um ihre IT-Sicherheit zu kümmern. In den USA sorgt die Heimatbehörde für mehr Bewusstsein. In Europa soll eine neue Behörde im kommenden Jahr ihren Dienst aufnehmen: die European Network and Information Security Agency. Doch sollten die Firmen nicht auf Aufforderungen von Regierungsseite warten. IT-Sicherheit ist auch im eigenen Interesse: Fast 85 Prozent der Unternehmen, die angegriffen wurden, erlitten dabei nach eigenen Angaben im vergangenen Jahr finanzielle Verluste.
Große Hoffnung auf wachsendes Geschäft machen sich daher Managed Security Service Provider (MSSP), an die die IT-Sicherheit outgesourct werden kann. Marktforscher überschlagen sich mit ihren Prognosen: Datamonitor erwartet, dass im Jahr 2005 bereits ein Fünftel aller Sicherheitslösungen von externen Dienstleistern bezogen werden. Frost & Sullivan prognostiziert eine Verdreifachung der MSSP-Umsätze bis zum Jahr 2008. Doch die Unternehmen greifen nur zurückhaltend zu. Die Sicherheit der eigenen Computersysteme ist den Entscheidern mehrheitlich zu sensibel für ein Outsourcing. Darüber hinaus sind Fernüberwachung und Angriffserkennung für MSSP-Anbieter nur begrenzt möglich. Die Provider werden zwar in den nächsten Jahren ein gutes Wachstum vorweisen, schätzt Mummert Consulting - allerdings auf niedrigem Niveau.
Für Rückfragen steht Ihnen gerne zur Verfügung:
Mummert Consulting AG, Presse- und Öffentlichkeitsarbeit, Jörg Forthmann, Tel.: 040/227 03-7787.
Die Presselounge von Mummert Consulting finden Sie im Internet unter www.mummert-consulting.de.
Original content of: Sopra Steria SE, transmitted by news aktuell