Leichtsinn oder Luxus? IT-Sicherheit lässt zu wünschen übrig
Nach Sasser & Co.: Aufrüstung im IT-Bereich unzureichend
Weltweite PwC-Umfrage zeigt vor allem Mangel an strategischer Vorbeugung
Frankfurt am Main (ots)
Unternehmen sind immer mehr auf die Sicherheit ihrer Informationstechnologien angewiesen, doch weltweit häufen sich die Probleme. PricewaterhouseCoopers (PwC) befragte gemeinsam mit dem amerikanischen CIO Magazine 8.200 IT-Verantwortliche aus 63 Ländern zum Thema Sicherheit. Wie die Umfrage "The Global State of Information Security 2005" zeigt, kletterte die Zahl der sicherheitsbezogenen Vorfälle von rund 700 im letzten Jahr auf rund 860 im Jahr 2005 - eine Steigerung um 22,4 Prozent. Insbesondere Hacker sind der Hauptgrund für IT-Ausfälle (63 Prozent), gefolgt von den eigenen Angestellten (33 Prozent) und ehemaligen Mitarbeitern (20 Prozent). Häufigste Waffe der Hacker sind nun schon im zweiten Jahr böswillige Codes wie zum Beispiel Computerviren, die für 59 Prozent der Probleme verantwortlich waren. Besonders beeinträchtigt waren die Netzwerkgeschwindigkeit oder Software wie beispielsweise E-Mail-Programme.
Finanzielle Verluste häufen sich
Auch die Gefahr finanzieller Verluste hat zugenommen. Nachdem 2004 nur sieben Prozent aller befragten Unternehmen finanzielle Einbußen durch IT-Probleme hinnehmen mussten, erlitten dieses Jahr 22 Prozent wirtschaftlichen Schaden. Durch die vermehrten Verluste haben die Betriebe ein Problembewusstsein entwickelt und die Ausgaben für digitale Sicherheit erhöht. Allerdings fielen die Investitionen mager aus: Laut der PwC-Umfrage investierten Unternehmen 2005 im Schnitt 13 Prozent ihrer Umsätze in den IT-Bereich - das sind nur zwei Prozent mehr als 2004.
Position Deutschlands im internationalen Ranking
In Europa kämpft vor allem Großbritannien mit einer großen Anzahl von Systemeinschränkungen: die befragten britischen Unternehmen meldeten 2004 im Schnitt 672 IT-Probleme. Deutschland liegt mit durchschnittlich 35,8 Ausfällen beziehungsweise Einschränkungen im IT-Bereich hinter Frankreich (250,7) und Spanien (63,7) europaweit auf Platz 4. Nicht immer kamen die Unternehmen mit einem blauen Auge davon: 14 Prozent der Umfrageteilnehmer in Deutschland erlitten Verluste von bis zu 500.000 Euro. 23 Prozent der befragten deutschen Unternehmen gaben an, dass IT-Probleme Ausfallzeiten von über acht Stunden verursachten.
Deutsche Unternehmen investierten mit elf Prozent ihrer Umsätze zwei Prozent weniger in IT-Sicherheit als Betriebe im Ausland. Weltweit will fast jedes zweite Unternehmen seine Ausgaben für IT-Sicherheit erhöhen, in Deutschland sind es hingegen nur 35 Prozent. Eine/n Chief Information Security Officer (CISO) oder eine/n Chief Security Officer (CSO) beschäftigen 22 beziehungsweise 27 Prozent der deutschen Unternehmen. Nur sieben Prozent wollen im nächsten Geschäftsjahr eine CISO-, acht Prozent eine CSO-Stelle einrichten.
Verteidigungsstrategien der Unternehmen noch ausbaufähig
Im Kampf gegen IT-Ausfälle setzen Unternehmen häufig auf Quantität statt Qualität. "Oft versuchen Unternehmen, Sicherheitsprobleme zu bewältigen, indem sie sich einfach ein Sicherheitsprogramm nach dem anderen zulegen. Dabei ist es effektiver, das Feuer mit Hilfe eines Feuerwehrmanns, einer Direktive für den Feuerwehrmann und den richtigen Instrumenten wie Wasserschlauch oder Feuerlöscher zu bekämpfen", erklärt Kurt Glasner, Experte für den Bereich Information Technology und Partner bei PricewaterhouseCoopers. "Wenn bestimmte Werkzeuge fehlen, wird das Feuer weiter brennen. Das erfolgreichste Konzept für IT-Sicherheit liegt in der Fähigkeit der Unternehmen, die richtige Mischung aus Know-How, Strategie und Technologie zu implementieren."
Nicht in allen diesen Punkten jedoch sind Unternehmen gut gerüstet. Vor allem in strategischer Hinsicht liegt noch einiges im Argen, denn nur drei Prozent der Betriebe weltweit haben im Falle eines Angriffs auf ihr IT-System einen Notfallplan, und nur 24 Prozent wollen 2006 einen solchen Plan entwickeln.
IT-Sicherheit rückt in den Blickpunkt regulatorischer Vorgaben
In Deutschland setzt man auf Überwachung und Kontrollen zur Steigerung der IT-Sicherheit. So wollen 38 Prozent (weltweit 29 Prozent) in eine stärkere Überwachung der Internetnutzung ihrer Angestellten und 37 Prozent (weltweit 34 Prozent) in weitere Kontrollen investieren. Der strategische Faktor wird auch hier weitgehend vernachlässigt. Nur jedes dritte Unternehmen arbeitet an einer umfassenden Sicherheitsstrategie, jedes vierte Unternehmen an einem strategischen Notfallplan. Nach Ansicht von Kurt Glasner ist das zu wenig: "Neben direkten finanziellen Verlusten und Reputationsrisiken sollten die Unternehmensleitungen bedenken, dass auch die regulatorischen Vorgaben zunehmend IT-Sicherheit adressieren. So ist etwa im Sarbanes-Oxley Act, der für börsengelistete Unternehmen in den USA maßgebend ist, von Kontrollen in der IT-Infrastruktur die Rede, die wirksam implementiert und vollständig dokumentiert sein müssen. Gesetzesinitiativen der EU und des Bundes greifen diese Zielrichtung auch für alle anderen börsennotierten Unternehmen auf. Aber auch nicht notierte Unternehmen dürfen nicht tatenlos bleiben, da Banken für ihre Rating-Verfahren die Anforderungen an die Großunternehmen als Best Practice ansehen. Unternehmen, die ihre IT-Sicherheit vernachlässigen, müssen daher mit finanziellen Malusregelungen rechnen."
Mehr Informationen zur Umfrage "The Global State of Information Security 2005" finden Sie online unter: http://www.cio.com/archive/091505/global.html
Hinweis für die Redaktion:
Die PricewaterhouseCoopers AG Wirtschaftsprüfungsgesellschaft ist in Deutschland mit 8.200 Mitarbeitern und einem Umsatzvolumen von rund einer Milliarde Euro eine der führenden Wirtschaftsprüfungs- und Beratungsgesellschaften. An 28 Standorten arbeiten Experten für nationale und internationale Mandanten jeder Größe. PwC bietet Dienstleistungen an in den Bereichen Wirtschaftsprüfung und prüfungsnahe Dienstleistungen (Assurance), Steuerberatung (Tax) sowie in den Bereichen Transaktions-, Prozess- und Krisenberatung (Advisory).
Weitere Informationen erhalten Sie bei: Dr. Kurt Glasner PricewaterhouseCoopers AG WPG Advisory Tel.: (0201) 438 - 11 10 E-Mail: kurt.glasner@de.pwc.com
Dr. Kerstin Dell PricewaterhouseCoopers AG WPG Corporate Communications / Presse Tel.: (069) 95 85 - 10 70 E-Mail: kerstin.dell@de.pwc.com
Original-Content von: PwC Deutschland, übermittelt durch news aktuell