All Stories
Follow
Subscribe to Sopra Steria SE

Sopra Steria SE

Viren, Würmer, kriminelle Mitarbeiter: Firmen versagen bei der Vorsorge

Hamburg (ots)

Die Sicherheit in der Informationstechnologie (IT) ist ein
Top-Thema der CeBIT 2003 - neben drahtlosen Netzwerken (WLAN) und
kosteneffizienten Softwarelösungen. Das ergab eine aktuelle Befragung
von Mummert Consulting unter den IT-Ausstellern der Computermesse.
Das Bewusstsein für das Thema IT-Sicherheit wächst. Endlich.
Bisher haben Angreifer oft leichtes Spiel, denn deutsche Firmen
sorgen nur mangelhaft vor. Viele schließen nicht einmal bekannte
Sicherheitslücken. Jüngstes Beispiel: der so genannte Slammer-Wurm.
Er nutzte Ende Januar ein bekanntes Sicherheitsleck in einer
Microsoft-Datenbank aus und zwang schätzungsweise mehr als 100.000
Server weltweit in die Knie. Das Sicherheitsproblem war bereits seit
Mitte 2002 bekannt - nur hatten viele Administratoren darauf nicht
reagiert. Die meisten Angriffe zielen nämlich auf altbekannte Fehler:
Nur 14 Prozent nutzen Schwachstellen, die Experten nicht kennen. Die
nahe Zukunft verspricht kaum Verbesserungen: IT-Sicherheit wird als
technisches Problem wahrgenommen und deshalb allzu oft an die
Fachabteilung delegiert. Sie wird weiterhin nur dann zur Chefsache,
wenn Angriffe auf IT-Systeme zu nennenswerten Schäden führen. In
weniger als jedem fünften Unternehmen widmet sich die
Geschäftsleitung diesem Thema. Dies hat eine Umfrage der
Informationweek ergeben, die von Mummert Consulting ausgewertet
wurde.
Die Angriffe gegen die Informationstechnologie (IT) haben in den
letzten Jahren stark zugenommen. Fast 60 Prozent der Unternehmen in
Deutschland sind bereits Opfer von Saboteuren oder Hackern geworden.
Laut einer Studie der US-Heimatbehörde stieg die Anzahl der bekannten
Sicherheitslücken in den vergangenen zwei Jahren fast um das
Vierfache - von 1.090 auf 4.129. In Deutschland verdoppelte sich die
Anzahl der Delikte mit Computern. Waren es 1999 noch gut 40.000
Fälle, so zählte das Bundeskriminalamt im Jahr 2001 bereits fast
80.000 Straftaten, Tendenz steigend. Die größte offene Flanke vieler
Unternehmen sind zurzeit Schwachstellen im Betriebssystem. Mehr als
ein Drittel aller Angriffe erfolgt auf diesem Wege. Bedenklich: Jedes
zehnte Unternehmen hat keine Ahnung, wie die Attacken durchgeführt
wurden. Dies ergab eine Studie der Informationweek, die mit
Unterstützung von Mummert Consulting ausgewertet wurde. Zunehmend
gefährlicher für die IT-Sicherheit werden eigene Mitarbeiter. Schon
heute sind sie für fast ein Viertel der Sicherheitslücken
verantwortlich. Der Grund: Sie können mit den Systemen nicht umgehen,
verursachen so vermeidbare Fehler. Zu den Fehlern aus Unwissenheit
tritt böser Wille: Zwei von drei Angriffen gehen auf das Konto der
Mitarbeiter. Davon gehen die Experten von Mummert Consulting aus. Die
Gründe sind vielfältig: Der Beschäftigte hat sich beispielsweise über
Vorgesetzte oder Kollegen geärgert, ist unzufrieden mit der
Entlohnung oder seiner Position.
Vier von fünf Unternehmen rechnen mit einem weiteren Anstieg der
Kriminalität im IT-Bereich. Und auch, wenn die Sicherheit das 
Top-Thema der CeBIT ist: In den Chefetagen ist die Aufmerksamkeit für
dieses Thema bislang verhalten. In drei von fünf Firmen ist die 
IT-Abteilung für Sicherheitsmaßnahmen verantwortlich. Nur je acht
Prozent der Firmen beschäftigen einen Chief Information Officer (CIO)
oder einen Datenschutzbeauftragten. Einen Chief Security Officer
(CSO) leisten sich nur 1,3 Prozent der Unternehmen. Gleichzeitig
bekunden deutsche Unternehmen, dass ihre Sensibilität für die
IT-Sicherheit zugenommen habe. Auf einer Skala von eins bis zehn
bewerten Entscheider sie mit acht und bewilligen ihrer 
IT-Fachabteilung mehr Geld für den Kampf gegen Viren, Würmer und
Hacker. Über die Budgetfrage hinaus ist die Bereitschaft des 
Top-Managements, sich intensiv und detailliert mit der IT-Sicherheit
zu beschäftigen, auch in der Zukunft nur begrenzt ausgeprägt. Die
wachsenden Budgets spiegeln sich in der aktuellen
CeBIT-Ausstellerbefragung wider: IT-Sicherheit ist ein Top-Thema. Die
Investitionen fließen vor allem in die Abwehr von Viren (56,3
Prozent) und in die Sicherheit der Betriebssysteme (53,9 Prozent).
Damit realisieren deutsche Firmen wichtige Mosaiksteinchen zum
Schutz ihrer Computersysteme. Die intelligente Verknüpfung der
einzelnen Schutzmaßnahmen zu einem mehrschichtigen Sicherheitsnetz,
das Gateways, Server und Clientrechner schützt, wird unterdessen
selten geleistet.
Die Maßnahmen für mehr Sicherheit gleichen in vielen Fällen wildem
Aktionismus. Denn: Viele Unternehmen leiten konkrete Abwehrmaßnahmen
ein, ohne vorher einen Risiko-Check durchzuführen. Wurzel dieses
Problems ist die Tatsache, dass viele Firmen kein konsequentes
IT-Management betreiben und keinen verantwortlichen Entscheider mit
dieser Aufgabe betrauen. Mitarbeiter in dieser Position würden zum
Beispiel dafür sorgen, dass Risiko-Assessments oder Sicherheitstests
regelmäßig durchgeführt werden. Das plant bisher nur jedes fünfte
Unternehmen. Die Folge: Schwachstellen bleiben unerkannt. Ob
ergriffene Maßnahmen also tatsächlich erfolgreich sind, ist vielfach
nicht sicher.
Dabei werden die Firmen inzwischen von höchsten Stellen
aufgefordert, sich aktiv um ihre IT-Sicherheit zu kümmern. In den USA
sorgt die Heimatbehörde für mehr Bewusstsein. In Europa soll eine
neue Behörde im kommenden Jahr ihren Dienst aufnehmen: die European
Network and Information Security Agency. Doch sollten die Firmen
nicht auf Aufforderungen von Regierungsseite warten. IT-Sicherheit
ist auch im eigenen Interesse: Fast 85 Prozent der Unternehmen, die
angegriffen wurden, erlitten dabei nach eigenen Angaben im
vergangenen Jahr finanzielle Verluste.
Große Hoffnung auf wachsendes Geschäft machen sich daher Managed
Security Service Provider (MSSP), an die die IT-Sicherheit
outgesourct werden kann. Marktforscher überschlagen sich mit ihren
Prognosen: Datamonitor erwartet, dass im Jahr 2005 bereits ein
Fünftel aller Sicherheitslösungen von externen Dienstleistern bezogen
werden. Frost & Sullivan prognostiziert eine Verdreifachung der
MSSP-Umsätze bis zum Jahr 2008. Doch die Unternehmen greifen nur
zurückhaltend zu. Die Sicherheit der eigenen Computersysteme ist den
Entscheidern mehrheitlich zu sensibel für ein Outsourcing. Darüber
hinaus sind Fernüberwachung und Angriffserkennung für MSSP-Anbieter
nur begrenzt möglich. Die Provider werden zwar in den nächsten Jahren
ein gutes Wachstum vorweisen, schätzt Mummert Consulting - allerdings
auf niedrigem Niveau.
Für Rückfragen steht Ihnen gerne zur Verfügung:
Mummert Consulting AG, Presse- und Öffentlichkeitsarbeit, 
Jörg Forthmann, Tel.: 040/227 03-7787.
Die Presselounge von Mummert Consulting finden Sie im Internet unter
www.mummert-consulting.de.

Original content of: Sopra Steria SE, transmitted by news aktuell

More stories: Sopra Steria SE
More stories: Sopra Steria SE
  • 04.03.2003 – 11:00

    CeBIT-Aussteller demonstrieren Zuversicht

    Hamburg (ots) - Trotz der angespannten wirtschaftlichen Situation in der Informationstechnologie(IT)- und Telekommunikations(TK)-Industrie fahren die Unternehmen mit vorsichtigem Optimismus zur diesjährigen CeBIT nach Hannover: Immerhin jeder fünfte Aussteller (22 Prozent) wird sein Engagement im Vergleich zum Vorjahr vergrößern. Lediglich zwölf Prozent der Unternehmen engagieren sich weniger als 2002. Bei zwei ...

  • 27.02.2003 – 11:00

    CeBIT - die größten Tops und Flops

    Hamburg (ots) - In fast zwei Wochen ist es wieder soweit: Schneller, größer, besser - nicht immer haben sich die CeBIT-Highlights der Vergangenheit als Tops erwiesen. Zu oft waren teure Flops dabei, so die Einschätzung der Unternehmensberatung Mummert Consulting. Die Negativserie der letzten Jahre kratzt am Ruf der Messe als Trendbarometer der High- Tech-Welt. Eine Folge: Im letzten Jahr hat die Messe rund 10 ...

  • 25.02.2003 – 11:00

    Fondsgesellschaften im Internet: viel Information, wenig Service

    Hamburg (ots) - Fondsgesellschaften in Deutschland erfüllen mit ihrem Internetauftritt durchschnittlich knapp 60 Prozent der Anforderungen an guten Kundenservice. Dabei werden insbesondere die Online-Beratung und die schnelle Beantwortung von Kundenfragen vernachlässigt. Die Fondsgesellschaften schöpfen die Möglichkeiten des Vertriebs- und Servicekanals Internet noch nicht voll aus. Insgesamt haben sie aber ihre ...