Experte rät zu Katalog mit klaren Soll-Definitionen

IT-Sicherheit: Sensibilität allein reicht nicht

09.08.2007 von Werner Kurzlechner
Was Firmen bei der IT-Sicherheit falsch machen, wissen Branchen-Experten sehr genau: Es fehlt nicht mehr an Einsicht, sondern an Taten. 65 Prozent der Spezialisten halten das Problembewusstsein für ausgeprägt. Sie bemängeln zugleich, dass die Unternehmen nötige Maßnahmen nicht umsetzen. Das geht aus dem Sicherheitsreport der Nationalen Initiative für Informations- und Internet-Sicherheit (NIFIS) hervor.
So schätzen die Experten den Grad der Sensibilisierung ein.

Kaum überraschend hebt NIFIS die Alarm-Signale hervor, die aus den Umfrage-Daten aufblitzen. Vielleicht lohnt es aber, exemplarisch zwei andere Phänomene in den Vordergrund zu rücken.

Zum einen lebt fast die Hälfte der Unternehmen seit langer Zeit auf einer Insel der sicheren Glückseligkeit: 47,1 Prozent der Befragten haben weder in diesem noch im vergangenen Jahr schädliche Vorfälle mitbekommen - nicht in der eigenen Firma und auch nicht in anderen. Im Umkehrschluss waren 53 Prozent wohl überwiegend selbst betroffen.

Zum anderen gibt ein Zehntel die Abwehr von IT-Gefahr anscheinend kampflos auf. 10,5 Prozent stimmten nämlich der Aussage zu: "Der Grad der Sensibilisierung ist niedrig und auch eine Aufklärung wird daran nichts ändern.“ Am anderen Ende der Skala tummeln sich sechs Prozent Optimisten, die in Sachen IT-Security alles für bestens geregelt halten.

Bei Einkauf von Hardware und Software handeln die Anwender nach Einschätzung von 35 Prozent der Befragten überlegt und völlig richtig. Fast 60 Prozent nehmen zwar Sicherheitsbewusstsein wahr, kritisieren aber einen zentralen Fehler. Demnach investieren die Unternehmen zu wenig Zeit, um die notwendigen Sicherheitsanforderungen zu definieren. Den Leistungsbeschreibungen der Hersteller vertrauen sie allzu blind.

NIFIS-Vorstandsvorsitzender Peter Knapp hat deshalb folgenden Rat parat: "Die Anforderungen in Bezug auf die IT-Sicherheit müssen explizit formuliert und gemeinsam mit dem Auftragnehmer in einem Katalog mit klaren Soll- und Ist-Listen überprüft werden."

Hohe Komplexität ist ein Sicherheitsrisiko

In einem eigenen Fragen-Komplex spürte NIFIS den Ursachen nach, die Mitarbeiter zu einem Risiko-Faktor machen. Ein Drittel geht sehr stark davon aus, dass es an klaren Verhaltensregeln in den Betrieben fehlt. "Mitarbeiter müssen genau wissen, was sie dürfen und was nicht", sagt Knapp.

29,5 Prozent halten die manchmal überkomplexe IT-Organisation für einen ausschlaggebenden Faktor. Sie denken, es sei den Mitarbeitern oft unmöglich, Security-Anforderungen in vollem Umfang zu erfüllen.

Im Vergleich zu diesen zentralen Punkten gehen die Experten recht milde mit den Firmen, der Persönlichkeit der Mitarbeiter und der verfügbaren Technologie, um: 18 Prozent sehen im mangelhaften Verantwortungsbewusstsein der Mitarbeiter ein Kernproblem, 13 Prozent in der nicht ausreichenden Fehler-Toleranz der Produkte. Dass Mängel in der Mitarbeiter-Schulung des Pudels Kern seien, meinen nur zwölf Prozent.

NIFIS befragte für ihren "Deutschen Sicherheitsreport" 50 IT-Sicherheits-Spezialisten.