Obwohl die IT der Unternehmen immer öfter attackiert wird, ist sie nicht ausreichend gegen die Angriffe gewappnet. Zwar verfügen rund 90 Prozent über Virenscanner und Firewalls, doch nur 44 Prozent nutzen automatische Updates der Antivirensoftware. 15 Prozent aktualisieren den Virenschutz erst, wenn es bereits zu einem Sicherheitsverstoß gekommen ist. Das ist ein Beispiel dafür, dass viele Unternehmen ihre eingesetzte Sicherheitstechnik überschätzen. Mehr als die Hälfte der Befragten stuft denn auch das Sicherheitsrisiko im eigenen Unternehmen als eher gering ein.
Über vier Fünftel der Sicherheitsvorfälle der vergangenen zwölf Monate gehen auf das Konto von Viren, Würmern und trojanischen Pferden. Dabei waren in einem knappen Drittel bekannte Schwachstellen in den Betriebssystemen mitursächlich. In rund 30 Prozent der Angriffe waren menschliches Versagen oder Bedienungsfehler im Spiel.
Fast die Hälfte der Befragten will im kommenden Jahr die Sicherheit des Betriebssystems erhöhen. 45 Prozent wollen sich auf die Abwehr von Viren & Co. konzentrieren. Verbesserungen bei der Anwendungssicherheit planen zwei von fünf Unternehmen, ein Drittel nimmt die Zugriffskontrollen ins Visier.
Zeit- und Ressourcenmangel behindern in mehr als jedem zweiten Unternehmen die Effektivität der IT-Sicherheit. So werden beispielsweise hochsensitive Daten bei fast der Hälfte der Firmen nur noch dann klassifiziert, wenn Bedarf besteht.
Mangelndes Sicherheitsbewusstsein
Ein Problem ist auch das Budget: Zwei Drittel der Entscheider rechnen mit konstanten oder sinkenden Sicherheitsetats. Im Durchschnitt sollen bei der IT-Sicherheit rund 40 Prozent eingespart werden. 15 Prozent der Befragten rechnen mit Minderausgaben von mehr als der Hälfte des Vorjahresbudgets. Nur ein gutes Viertel der Unternehmen will mehr für die Sicherheit aufwenden, durchschnittlich rund ein Drittel.
Ein weiteres Problem ist das fehlende Bewusstsein für die IT-Security. Nur etwas mehr als jedes zehnte Unternehmen verfügt über eine IT-Richtlinie in Form einer kompletten Beschreibung der Sicherheitsmaßnahmen und -ziele. Gut jedes fünfte hat gar keine Richtlinie, rund jedes vierte nur eine informelle. Im Durchschnitt sind lediglich rund 60 Prozent der Mitarbeiter in deutschen Unternehmen mit ihrer IT-Sicherheitsrichtlinie vertraut.
Die fehlende Strategie setzt sich in der operativen Umsetzung der IT-Sicherheit fort. Vier Fünftel der Unternehmen sichern ihre sensiblen Daten mit einfachen Benutzerpasswörtern. Nur jedes Vierte setzt auf Smartcards, Einmal-Passwörter oder Token. Kaum ein Unternehmen (3,5 Prozent) verwendet biometrische Verfahren, um die IT zu schützen.
Gut 40 Prozent der Befragten sehen ein Problem in der hohen Komplexität der angebotenen Sicherheitstechnologien. Etwa der gleiche Prozentsatz sieht die Effektivität der Sicherheit durch ein schlechtes Preis-Leistungs-Verhältnis der Sicherheitslösungen behindert. Jeder vierte Befragte bemängelt zudem unausgereifte Technologien seitens der Hersteller.
An der Studie "IT-Security 2004" nahmen 842 IT-Manager aus Deutschland und der Schweiz von April bis Juni 2004 teil. Die Befragung wurde im Auftrag der Informationweek durchgeführt und mit Unterstützung von Mummert Consulting ausgewertet.
Weitere Meldungen:
Sicherheits-Anwendungen boomen weiter
System-Ausfallzeiten drohen zuzunehmen
Handhelds durchlöchern Sicherheitskonzepte
Bücher zum Thema:
IT-Sicherheit mit System
Kommunikationssysteme mit Strategie