Einleitung
Analysten konstatieren mit Blick auf die Kriminalstatistiken einen Anstieg der Computerkriminalität in Deutschland. Jedes zweite Unternehmen ist heute bereits Opfer von Angriffen auf die IT-Struktur. Im Jahr 2005 sollen neun von zehn Unternehmen betroffen sein. Die Dunkelziffer ist hoch. Drohender Imageverlust lässt nur selten Informationen an die Öffentlichkeit dringen. Und häufig genug werden Angriffe nicht als solche erkannt, sondern als technisches Problem fehlinterpretiert. Gut ein Fünftel der Unternehmen weiß nicht, ob sie bereits Ziel von Hacker-Angriffen waren.
Doch nicht nur Hacker, Spione und Saboteure bedrohen die Daten und damit die Produktivkraft des Unternehmens. Die Verfügbarkeit von Informationen wird ebenso häufig durch Systemausfälle, technisches Versagen und Fehlbedienung beeinträchtigt. Die Betriebsfähigkeit der IT-Infrastruktur sicherzustellen und ein adäquates Verfügbarkeitsmanagement zu implementieren, liegt nicht nur im wirtschaftlichen Interesse der Unternehmen sondern ist existentielle Notwendigkeit.
Im Rahmen der Kampagne "TrustD@y - IT-Sicherheit ist Chefsache!" befragte die TimeKontor AG bundesweit und branchenübergreifend Entscheider zur IT-Sicherheit in ihrem Unternehmen.
Die Kampagne "TrustD@y - IT-Sicherheit ist Chefsache!" (www.trustday.de) verfolgt das Ziel, IT-Sicherheitsrisiken bewusst zu machen, Praxiswissen zu vermitteln und IT-Sicherheit als strategisches Thema im Top-Management zu verankern. Sie wird gemeinsam mit Partnern aus Wirtschaft, Politik, Verbänden und Medien durchgeführt. "TrustD@y" wurde von der TimeKontor AG konzipiert und initiiert. Die bundesweite, mehrjährige Kampagne (2002-2004) unterstützt mit ihren Aktivitäten die Initiative "Partnerschaft Sichere Internetwirtschaft" des Bundesministeriums für Wirtschaft und Arbeit (BMWA) und steht unter der Schirmherrschaft von Erkki Liikanen, Kommissar der DG Information Society der Europäischen Kommission. Sie wird mit Unterstützung des Bundesministeriums des Innern (BMI) und des Branchenverbands BITKOM realisiert.
Daten zur Studie
In der branchenübergreifenden Studie wurden bundesweit 2.115 Entscheider im Zeitraum von Oktober bis November 2002 in telefonischen und schriftlichen Interviews befragt. Der qualitativen Auswertung liegt eine Grundgesamtheit von 704 Interviews zugrunde, die Auskunft geben zu Sicherheitsmanagement und Sicherheitsorganisation in Unternehmen und Verwaltung, Motivation und Hemmnissen für die Umsetzung von IT-Sicherheitsmaßnahmen sowie Schadensfällen und Investitionen in IT-Sicherheit.
Befragte Unternehmen nach Branche Anteil (in Prozent)
Baugewerbe 8,7%
Dienstleistung 19,3%
Fertigung und Industriebetriebe 32,0%
Finanzierungs- und Versicherungswesen 4,4%
Handel 20,9%
Transport und Verkehr 3,7%
Verbände, Behörden, öffentliche Einrichtungen 7,7%
Wasser- und Energieversorgung 2,4%
Sonstige 0,9%
Abb. 1: In welcher Branche ist Ihr Unternehmen tätig?
Das stärkste Segment bilden mit 32 Prozent der befragten Unternehmen die Fertigungs- und Industriebetriebe, gefolgt vom Handel mit 20,9 Prozent und dem Dienstleistungsbereich mit 19,3 Prozent (siehe Abb. 1). Im Hinblick auf die Unternehmensgrößen dominieren mit 38,6 Prozent Unternehmen mit 100 bis 249 Beschäftigten. Der klassische Mittelstand mit 50 bis 499 Mitarbeitern stellt mit insgesamt 74,8 Prozent das Gros der Umfrageteilnehmer dar (siehe Abb. 2).
Befragte Unternehmen nach Unternehmensgröße Anteil (in Prozent)
50 bis 99 Beschäftigte 17,0%
100 bis 249 Beschäftigte 38,6%
250 bis 499 Beschäftigte 19,2%
500 bis 999 Beschäftigte 10,5%
mehr als 1000 Beschäftigte 7,5%
ohne Angabe 7,2%
Abb. 2: Wie viele Mitarbeiter beschäftigt Ihr Unternehmen in Deutschland?
Sicherheitsmanagement und Sicherheitsorganisation
In der vorliegenden Umfrage erklärten 73 Prozent der Befragten, über Sicherheitsrichtlinien zu verfügen. 25 Prozent hingegen verzichten auf jegliches Regelwerk (2,0 Prozent keine Angabe). (Siehe Abb. 3)
54 Prozent können auf eine schriftlich fixierte Sicherheitspolitik zurückgreifen. In 35 Prozent der Unternehmen und Institutionen existieren formlose Sicherheitsrichtlinien. 42 Prozent der befragten Unternehmen und Institutionen besitzen zusätzlich einen Notfallplan und 18 Prozent haben Business Continuity Konzepte vorliegen.
Die Erkenntnis, dass IT-Sicherheitskonzepte nicht für den Aktenschrank produziert werden, sondern im Unternehmen gelebt werden müssen, scheint sich Bahn zu brechen. Immerhin bei mehr als der Hälfte der befragten Unternehmen (51 Prozent) sind die Sicherheitsrichtlinien allen Mitarbeitern vertraut, wohingegen 22 Prozent dies offen verneinen. 27 Prozent der Umfrageteilnehmer verzichteten auf eine Angabe, wobei mit hoher Wahrscheinlichkeit der Verzicht auf eine Antwort als Eingeständnis eines Defizits zu werten ist. (Siehe Abb. 4)
Bei der Frage, wie die Mitarbeiter über Sicherheitsrichtlinien informiert werden, kommen verschiedene Methoden zum Einsatz. Die Arbeitsanweisung als situative, aktionsbezogene und unstrukturierte Form der Informationsvermittlung belegt mit 41,5 Prozent den ersten Platz. 32,1 Prozent der Unternehmen verfügen über einsehbare, schriftlich niedergelegte Sicherheitsrichtlinien und 34,2 Prozent überreichen diese ihren Mitarbeitern bei der Einstellung. Ein Handbuch besitzt eine Minderheit von 14,2 Prozent der befragten Unternehmen. Trotz wirtschaftlich schwieriger Lage erkennen 31,7 Prozent der Unternehmen die Notwendigkeit von Schulungsmaßnahmen im Bereich IT-Security an. Angesichts knapper Budgets ist anzunehmen, dass es sich häufig um punktuelle Maßnahmen für Key User bzw. um technische Produktschulungen handelt. In diesem Zusammenhang ist das Modell "Teach the Teacher" von Bedeutung. 15,8 Prozent gehen bei der Schulung ihrer Mitarbeiter nach dem "Schneeballprinzip" vor und betreiben Wissensvermittlung über Abteilungsleitung und Key User.
Signifikante Unterschiede zeigen sich bei einer branchenbezogenen Auswertung der Fragen zur Sicherheitspolitik. Die Frage nach dem Vorhandensein von IT-Sicherheitsrichtlinien beantworteten 94 Prozent der Befragten aus dem Bereich Finanzen/Versicherungswesen und 88 Prozent der Wasser- und Energieversorger mit Ja, wohingegen die Quote im Baugewerbe bei nur 57 Prozent liegt (siehe Abb. 5).
Die Frage, in welcher Form Sicherheitsrichtlinien vorliegen, variiert ebenfalls stark in Abhängigkeit von der betreffenden Branche. Im Hinblick auf schriftlich fixierte Sicherheitsrichtlinien liegen Verbände/öffentlicher Sektor mit 45 Prozent an der Spitze, gefolgt von Wasser- und Energieversorgern (42 Prozent) sowie dem Baugewerbe (40 Prozent). Notfallpläne existieren bei 35 Prozent der befragten Wasser- und Energieversorger und 34 Prozent der Versicherungen und Finanzdienstleister. Über Business Continuity Konzepte verfügen 17 Prozent im Finanz- und Versicherungswesen. Werte, die im allgemeinen, aber insbesondere bei kritischen Infrastrukturen als deutlich zu niedrig anzusehen sind. (Siehe Abb. 6)
Sicherheitsrichtlinien veralten ebenso schnell wie die IT-Infrastruktur, die sie schützen sollen. Eine regelmäßige und bedarfsorientierte Überprüfung und Aktualisierung ist daher zwingend notwendig. Die große Mehrheit der Unternehmen beschränkt sich jedoch auf eine unregelmäßige Überprüfung ihrer Sicherheitspolitik (52 Prozent). Immerhin 4,1 Prozent der Unternehmen gehen sogar das Wagnis ein, auf eine Überprüfung und Aktualisierung gänzlich zu verzichten. 13,5 Prozent sehen eine halbjährliche Überprüfung vor. 7,5 Prozent der Unternehmen aktualisieren ihre Policy quartalsweise.
Ein stringentes Sicherheitsmanagement hängt in entscheidendem Maße von den Entscheidungsstrukturen im Unternehmen ab. Wer trifft in Unternehmen und Institutionen Investionsentscheidungen zu IT-Sicherheit? Inwieweit ist IT-Sicherheit Chefsache? Mehrheitlich liegt die Entscheidung beim IT-Leiter/IT-Management (46,2 Prozent). Nur bei 37,9 Prozent der Befragten ist die Investitionsentscheidung auf der Ebene der Geschäftsführung bzw. des Vorstandes angesiedelt. Der Fachabteilungsleiter entscheidet in 2,4 Prozent der Unternehmen. Externen Beratern wird nur bei 0,6 Prozent der befragten Unternehmen Entscheidungsbefugnis eingeräumt.
Das Ergebnis ist ein klares Indiz dafür, dass die strategische Bedeutung von IT-Sicherheit für die Unternehmensentwicklung häufig nicht erkannt wird. Die fehlende Rückendeckung durch das Top-Management erweist sich als eine der Hauptursachen für die unzureichende Umsetzung adäquater Sicherheitsstrategien.
Wie sieht der Branchenvergleich aus? Mit Ausnahme von Banken/Versicherungen sowie des Baugewerbes, entscheidet auch in der Mehrheit der Branchensegmente das IT-Management über Investitionen in die IT-Sicherheit. Die Sonderstellung der Finanz- und Versicherungsunternehmen liegt sicherlich im erhöhten Schutzbedürfnis begründet; 48 Prozent betrachten IT-Sicherheit als Chefsache. Die IT-Infrastruktur bildet einen geschäftskritischen Faktor, der auch bei minimalen Störfällen eine existentielle Bedrohung darstellt. Im Baugewerbe dagegen ist zu vermuten, dass IT-Sicherheit nicht aufgrund ihrer strategischen Bedeutung zur Chefsache wird (59 Prozent), sondern Investitionsentscheidungen allgemein von der Geschäftsführung bzw. dem Vorstand getroffen werden. (Siehe Abb. 7)
Im Segment Fertigung/Industrie liegt der Prozentsatz der Unternehmen, die Security-Investionen der Geschäftsführung bzw. dem Vorstand zuordnen, mit 40 Prozent über dem Durchschnitt. Die weltweite Vernetzung, die elektronische Abbildung aller Geschäftsprozesse sowie die Einbindung von Zulieferern und Partnern machen die IT-Infrastrukturen zum zentralen Nervensystem des Unternehmens, das keinerlei Toleranz für Ausfälle erlaubt. (Siehe Abb. 7)
Hemmnisse und Motivation für IT-Sicherheit
Was sehen Entscheider als Hemmschuh bei der Realisierung von IT-Sicherheitsmaßnahmen und was treibt sie in puncto IT-Sicherheit voran? In Zeiten stagnierender oder sinkender Budgets rückt IT-Sicherheit häufig in den Hintergrund. Zu knappe Budgets werden folgerichtig auch bei der Mehrzahl der Entscheider (59 Prozent) für unzureichende IT-Sicherheit verantwortlich gemacht. Von 48 Prozent der Befragten werden intransparente Kosten-Nutzen-Relationen als Hindernis angeführt. Doch auch die Technik selbst steht im Kreuzfeuer der Kritik. Die Komplexität der zur Verfügung stehenden Security-Lösungen und implizit die damit verbundenen Anforderungen an internes Know-how erweisen sich bei 38 Prozent der Unternehmen als Hemmschuh. 37 Prozent der Entscheider beklagen sich über das Vorhandensein von "Insellösungen", die einer integrierten Sicherheitsarchitektur widersprechen. Fehlende Entscheidungshilfen blockieren laut 29 Prozent der Befragten Investionsentscheidungen. Die mangelnde Berücksichtigung branchenspezifischer Anforderungen bei Security-Lösungen wird von 21 Prozent kritisiert. (Siehe Abb. 8)
Mit Ausnahme der ungünstigen wirtschaftlichen Rahmenbedingungen, zeigt sich hier erheblicher Handlungsbedarf, während sich gleichzeitig Marktchancen für Security-Anbieter eröffnen. Eine stärkere Integration von Sicherheitslösungen, Verbesserungen im Bereich der Usability und die Einbeziehung branchenspezifischer Anforderungen sind zentrale Faktoren, um Investitionshemmnisse zu beseitigen. Praxisorientierte Entscheidungshilfen und eine klare Kommunikation der Kosten und Nutzen von IT-Sicherheitsmaßnahmen bauen Barrieren ab.