Erst 54 Prozent der Befragten haben einheitliche und umfassende Security-Richtlinien vollständig umgesetzt. Statt End-to-End-Konzepte dominieren in deutschen Unternehmen bei der ITK-Sicherheit noch weitgehend Punktlösungen und in zahlreichen Segmenten gibt es Nachholbedarf.
Regelmäßige Sicherheitsschulungen - eine der wichtigsten Voraussetzungen für eine wirksame ITK-Security - führen lediglich 43 Prozent durch. Immerhin 57 Prozent haben inzwischen Maßnahmen ergriffen, die ein reibungsloses Zusammenspiel der technischen Sicherheits-Komponenten ermöglichen.
Probleme mit Compliance-Richtlinien
Laut Umfrage hapert es insbesondere bei der organisatorischen und rechtlichen Absicherung von technischen Maßnahmen zur ITK-Sicherheit. Die Umsetzung rechtlicher Vorgaben zur IT-Sicherheit durch Compliance-Richtlinien betrachten 47 Prozent der Unternehmen als Herausforderung.
Hierbei handelt es sich etwa um Richtlinien wie dem KonTraG, den Eigenkapitalvorschriften von Basel II, dem Bundesdatenschutzgesetz oder, im internationalen Umfeld, auch dem Sarbanes-Oxley Act. Immerhin 59 Prozent der befragten Firmen im Dienstleistungsbereich haben für sie relevante Compliance-Richtlinien vollständig umgesetzt, dagegen nur 29 Prozent aus der produzierenden Branche.
Firewall und Viren-Schutz sind Standard
Einzelne Bereiche sind jedoch durchaus gut abgesichert. Zum Schutz von Servern sind Firewalls und Virenschutz-Systeme inzwischen selbstverständlich. So gut wie alle Unternehmen setzen diese Technologien ein. 79 Prozent der Befragten verschlüsseln zudem den Datenverkehr oder planen dies. Dabei sind in Unternehmensnetzen die Daten besser geschützt als die Sprache, denn nur 30 Prozent der Firmen, die VoIP nutzen, verschlüsseln auch den Sprachverkehr.
Nicht anders sieht es bei der Sicherung von Daten in unternehmensinternen Massenspeichern aus: Lediglich 17 Prozent der Unternehmen verschlüsseln Daten innerhalb von Network-Attached-Storage (NAS)- oder Storage-Area-Network (SAN)-Systemen. Allerdings planen weitere 20 Prozent entsprechende Maßnahmen.
Alte Bekannte
Bei den aktuellen Sicherheits-Risiken stehen für mehr als die Hälfte der Befragten "alte Bekannte" wie Malware, Trojaner, Viren und Würmer an erster Stelle. Auf Platz zwei folgt Spam (46 Prozent) und auf dem dritten Platz liegen gezielte Angriffe auf die Verfügbarkeit der ITK-Systeme (31 Prozent). Auffallend ist, dass 47 Prozent der befragten Firmen unberechtigte Zugriffe von ihren Beschäftigten auf unternehmens-kritische Datenbestände als ernst zu nehmendes Sicherheits-Risiko erachten. Daher müssen Administrations- und Nutzungsrechte für Daten klar voneinander getrennt sein.
Auch die Mobilität von Mitarbeitern und die damit verbundenen Geschäfts-Prozesse werden inzwischen als ernstes Risiko wahrgenommen, denn Handlungsbedarf sehen die befragten Unternehmen bei der Sicherheit mobiler Endgeräte und der Verschlüsselung externer Datenträger wie USB-Sticks.
Security-Budgets steigen
Positiv entwickeln sich die Sicherheits-Budgets. Fast die Hälfte aller Unternehmen will im Jahr 2008 mehr Geld für die ITK-Security ausgeben. Dabei wollen mehr als die Hälfte der Betriebe mit 500 bis 999 Mitarbeitern ihre Ausgaben in diesem Bereich erhöhen. Bei Unternehmen mit mehr als 1.000 Mitarbeitern sind es lediglich 39 Prozent.
Für den Report "ITK-Sicherheit auf dem Prüfstand - Ganzheitliche Konzepte und ihre Umsetzung in deutschen Unternehmen" befragte das Berliner Analysten- und Beratungshaus Berlecon Research mehr als 100 CIOs und ITK-Leiter aus Unternehmen der Branchen Handel, Dienstleistung und produzierendes Gewerbe mit mindestens 500 Beschäftigten.
Etwas mehr als die Hälfte der befragten Firmen haben zwischen 500 und 999 Beschäftigte, 28 Prozent mehr als 1.000 Mitarbeiter und 20 Prozent mehr als 2.000 Mitarbeiter. Initiiert wurde die Studie vom ITK-System-Integrator Damovo, dem Storage-Spezialisten Decru und dem ITK-Infrastruktur-Anbieter Nortel.