Fast ein Drittel der befragten Unternehmen geht davon aus, dass die Ausgaben für IT-Sicherheit im kommenden Jahr steigen werden. Nur acht Prozent rechnen mit einem sinkenden Budget. Die größten Sicherheitsprobleme sind neben Spam und Viren, Trojaner (52 Prozent), Datenverluste (28 Prozent) oder Denial of Service-Attacken (21 Prozent).
Laut der Untersuchung wird der unberechtigte Zugang über das Internet zu einem immer größeren Problem. 41 Prozent der Firmen schätzen die Gefährdung durch interne Angriffe höher ein als das Risiko, Opfer eines externen Hackers zu werden. Der Grund: Mit dem gestiegenen Risikobewusstsein und den Maßnahmen der vergangenen Jahre ist der Schutz vor externen Angriffen durch Firewalls, Virenscanner und andere Maßnahmen relativ gut. Dagegen gibt es intern durch eine Vielzahl von Benutzerkonten, schwachen Kennwörtern und anderen Schwachstellen mehr Risiken.
Unsichere Kennwörter
Mehr als 90 Prozent der Befragten stufen das Problem der unsicheren Kennwörter als sehr wichtig oder wichtig ein. Gut 85 Prozent beklagen die fehlende Nachvollziehbarkeit von Zugriffsberechtigungen. Jeweils rund 80 Prozent der Firmen empfinden auch die ungelöste Problematik von nicht gelöschten Benutzerkonten ehemaliger Mitarbeiter sowie von nicht konsistenten Zugriffsberechtigungen als wichtig oder sehr wichtig.
Nicht viel besser sieht es bezüglich der unverschlüsselten Übertragung von sensiblen Informationen (76 Prozent) aus. Aber auch fehlende Antragsverfahren für das Benutzer- und Berechtigungs-Management, werden noch von rund 60 Prozent der Befragten als offenes Thema gesehen. Außerdem ist der Administrationsaufwand für verschiedene Benutzergruppen für den Großteil der Umfrageteilnehmer weiterhin ein Problem.
"Die internen IT-Schwachstellen, die IT-Verantwortliche in der Studie benennen, können mit IT-Werkzeugen des Identitäts- und Zugriffs-Managements geschlossen werden", sagt Thomas Leitner, Geschäftsführer von CA: Die wachsenden Compliance-Anforderungen würden dazu führen, dass der Handlungsdruck auf die Geschäftsführer und IT-Leiter steige.
Compliance im Mittelpunkt
Die Definition, Umsetzung und Überwachung von Richtlinien (38 Prozent) werden inzwischen von mehr Unternehmen als wichtig eingeschätzt. Für mehr als ein Drittel spielt eine Strategie für Spam-Filterung und Virenschutz eine wichtige Rolle. Zudem stellen 42 Prozent ein zentrales Sicherheits-Management ganz oben auf die Agenda.
Die Ergebnisse zu den Compliance-Regelungen machen deutlich, wie wichtig es für Firmen ist, das Identitäts- und Zugriffs-Management als Kerntechnologie auszubauen. Rund 60 Prozent der Befragten finden, dass das Bundesdatenschutzgesetz von sehr hoher Bedeutung ist. Auch Basel II wird von mehr als der Hälfte der Firmen als wichtig eingeschätzt. Jeder zweite IT-Verantwortliche sagt, dass er sich nach den Grundsätzen der Prüfbarkeit digitaler Unterlagen (GDPdU) richtet. Zudem spielen für mehr als ein Viertel die amerikanischen Richtlinien des Sarbanes-Oxley Act eine wichtige Rolle.
Bei der Bewertung der einzelnen Sicherheitsmaßnahmen zeigt sich, dass Firmen mit unter 500 IT-Arbeitsplätzen den Schutz des firmeneigenen Netzwerks und die Verschlüsselung als die dringlichste Aufgabe ansehen. IT-Verantwortliche aus Unternehmen mit mehr als 500 IT-Arbeitsplätzen konzentrieren sich mehr auf Compliance-getriebene Themen. Dazu gehören das übergreifende Sicherheits-Management und die Einhaltung von Richtlinien.
Fast die Hälfte der Befragten sieht in einem zentralisierten Enterprise Security Management die wichtigste Sicherheitstechnologie. Dahinter folgen das Patch-Management (41 Prozent) und das Identitäts- und Zugriffs-Management (39 Prozent. Fast alle Firmen besitzen Tools gegen Hacker, Viren und Spams.
Der Untersuchung zufolge setzt nur knapp jedes zweite Unternehmen spezielle Lösungen wie Intrusion Detection oder Systemhärtung ein. 37 Prozent nutzen Single Sign-On-Lösungen. Dagegen verfügt nur rund ein Viertel der Befragten über User Provisioning-Systeme. Nur acht Prozent beschäftigen sich mit dem Thema der Identity Federation. Als Wachstumsfelder werden vor allem die Sicherheit von mobilen Endgeräten und Web-Service-Security angesehen.
Für die Studie "IT-Sicherheit 2006. Herausforderung Compliance" wurden 224 deutsche Unternehmen befragt.