Strategien


IT-Sicherheit 2004

Mehr Attacken - weniger Verluste

Holger Eriksdotter ist freier Journalist in Hamburg.
Die Zahl der Angriffe gegen IT-Systeme steigt. Gleichzeitig vermelden die Sicherheitsverantwortlichen weltweit geringere Schäden. Die besten von ihnen kennen die drei Maßnahmen, die IT auch bei gleich bleibenden Security-Ausgaben sicherer machen.

Wer die Drei Richtigen Wege der Verteidigung kennt, braucht keine Raubritter und Vandalen zu fürchten. So lautet die Botschaft der weltweit größten Security-Studie von CIO-Amerika und Price Waterhouse Coopers. Mehr als 8000 Sicherheitsverantwortliche haben darin ihre Erfahrungen preisgegeben. Sie konnten die gestiegene Zahl der Attacken erfolgreicher als im Vorjahr abwehren. So ist die Summe der entstandenen Schäden gesunken - und das bei gleich bleibenden Security-Ausgaben. Als Gründe für diese positive Bilanz lassen sich ausmachen:

- die personelle Verankerung eines Sicherheitsverantwortlichen, am besten außerhalb der IT-Abteilung,

- eine umfassende Sicherheitsstrategie, die über SecuritySecurity Policies alle organisatorischen und technischen Sicherheitsaspekte regelt,

- etablierte Maßnahmen, die Mitarbeiter für IT-Sicherheit sensibilisieren. Alles zu Security auf CIO.de

Michael Lardschneider setzt vor allem auf den letzten Punkt. Der CISO (Chief Information Security Officer) der Münchener Rückversicherung warnt jeden Mitarbeiter, wenn er auf einen unbeaufsichtigten PC ohne Passwortschutz stößt: "Stellen Sie sich vor, was ich alles hätte anrichten können!" Lardschneider will die Aufmerksamkeit bei den Anwendern schärfen- anglo-amerikanisch "Awareness". Ein auf drei Jahre angelegtes Awareness-Programm mit Inhouse-Messen, Schulungen, Veröffentlichungen in der Hauszeitung und Präsentationen im Intranet soll das Thema ITSecurity vermitteln. Lardschneider fühlt sich nach eigenem Dafürhalten "nicht wie ein Polizist, sondern eher wie ein Öffentlichkeitsarbeiter der Polizei".

Damit schlägt sich der CISO auf die Seite der wenigen, die auf die Einsicht der Menschen setzen: Nur sieben Prozent der IT-Sicherheitsverantwortlichen glauben daran, dass sich wirklich alle Anwender an die Sicherheitsrichtlinien halten. Ein gutes Viertel geht davon aus, dass weniger als 50 Prozent der Nutzer ihre Anweisungen beachten. Auch deswegen zweifeln viele Sicherheitschefs am Erfolg der eigenen Arbeit: Lediglich 19 Prozent sind völlig davon überzeugt, dass die IT-Security effektiv arbeitet. In 15 Prozent der Unternehmen haben die Verantwortlichen ernste Zweifel, ob ihre Maßnahmen effektiv sind, weitere 14 Prozent sind sich nicht sicher, in welchem Umfang ihre Sicherheitsmaßnahmen greifen.

Zwei-Klassen-Gesellschaft

Diese Zahlen enthüllt die Studie "The State of Information Security 2004, die ein umfassendes - aber auch widersprüchliches - Bild der Situation gibt. Denn es zeichnet sich eine Zwei-Klassen-Gesellschaft ab: Fast 80 Prozent der Unternehmen haben keinen umfassenden Schutz installiert. In acht Prozent der befragten Unternehmen gibt es überhaupt keine schriftlich fixierten Sicherheitsrichtlinien. Das große Mittelfeld stützt sich auf Security Policies, die nur Teilbereiche abdecken und keine umfassende Sicherheit garantieren. Lediglich etwa 20 Prozent der Unternehmen - die "Best Practice Group - verfügen über eine gut funktionierende umfassende Sicherheitsorganisation.

Dazu zählt auch, die Stelle eines hauptberuflichen Sicherheitsverantwortlichen zu etablieren. "Es spielt dabei keine Rolle, ob er Direktor, Manager oder Leiter IT-Sicherheit, CISO (Chief Information Security Officer) oder CSO (Chief Security Officer) heißt - Hauptsache, er ist außerhalb der IT-Abteilung angesiedelt und hat administrative Rückendeckung durch die Unternehmensleitung", sagt Eric Euler, IT-Sicherheitsberater bei der cne consulting GmbH in Hamburg. Diese Erkenntnis scheint sich langsam durchzusetzen: Die Zahl der Unternehmen, die einen CSO oder CISO haben, hat sich weltweit gegen das Vorjahr auf 31 Prozent verdoppelt (in Deutschland: 22 Prozent). Ein zentrales Security-Management ist inzwischen in 39 Prozent der Unternehmen etabliert (Deutschland: 31 Prozent). 2003 waren es nur elf Prozent.

Zur Startseite