Studie zu ITK-Sicherheit in Deutschland
Insellösungen statt übergreifender Konzepte
Vielen Firmen in Deutschland fehlt ein übergreifendes ITK-Sicherheitskonzept, das Technik Organisation und Mitarbeiter ganzheitlich betrachtet. Das ergab eine Studie, die Berlecon Research erstellte. Nachholbedarf gibt es vor allem bei mobilen Geräten.
Eines der wichtigsten Ergebnisse der Untersuchung, die Berlecon im Auftrag von Damovo, Decru und Nortel Networks durchführe: Erst 54 Prozent der Unternehmen mit mindestens 500 Mitarbeitern haben bereits einheitliche und umfassende Sicherheitsrichtlinien umgesetzt. Bei Compliance-Vorschriften sind es 43 Prozent.
Regelmäßige Sicherheitsschulungen, eine der wichtigsten Voraussetzungen für einen wirksamen Schutz, führen lediglich 43 Prozent. Zudem haben erst 57 Prozent der Unternehmen Maßnahmen ergriffen, die ein reibungsloses Zusammenspiel der technischen Sicherheitskomponenten gewährleisten, die sie im Einsatz haben.
Statt eines integrierten Konzeptes für den Schutz ihrer IT- und Telekommunikationssysteme setzen viele Anwender hier zu Lande auf punktuelle Lösungen.
Daten besser geschützt als Sprachinformationen
Einzelne Bereiche sind der Studie zufolge bereits recht gut abgesichert. So hat der überwiegende Teil der Befragten Maßnahmen zum Schutz vor unberechtigten Datenzugriffen von außen getroffen.
An die 79 der Unternehmen verschlüsseln den Datenverkehr oder planen dies zumindest. Aber nur 30 Prozent der Unternehmen, die Voice-over-IP nutzen, verschlüsseln den Sprachverkehr. In den Unternehmensnetzen sind die Daten demnach besser geschützt als Sprachinformationen.
Als größte Sicherheitsrisiken stufen die meisten IT-Verantwortlichen (52 Prozent) Malware, Trojaner, Viren und Würmer ein. Spam (46 Prozent) landete auf dem zweiten Platz, gefolgt von gezielten Angriffe auf die Verfügbarkeit der ITK-Systeme (31 Prozent). Zu dieser Kategorie zählen beispielsweise Denial-of-Service-Angriffe.
Eigene Mitarbeiter als Risikoträger
Bemerkenswert in dem Zusammenhang: Für 47 Prozent bilden der unberechtigte Zugriff eigener Mitarbeiter auf unternehmenskritische Datenbestände ein ernst zu nehmendes Sicherheitsrisiko.
Handlungsbedarf sehen die Unternehmen auch bei der Sicherheit mobiler Endgeräte und der Verschlüsselung externer Datenträger wie USB-Sticks: 10 Prozent schätzen das Sicherheitsrisiko durch solche Komponenten als "sehr hoch" ein, weitere 32 Prozent als "hoch".
Das geringste Risikobewusstsein haben die ITK-Verantwortlichen in Bezug auf IP-gestützte Telefonie ("sehr hohes Risiko": 7 Prozent) und die Übertragung von Daten und Sprache über drahtlose Netze ("sehr hohes Risiko": 6 Prozent).
Fahrlässiger Umgang mit wichtigen Daten
"Trotz aller Fortschritte gehen Unternehmen in einigen Bereichen der ITK-Security ziemlich fahrlässig mit wichtigen Daten um. Das gilt nicht nur für mobile Speichergeräte, sondern auch für die internen Storage-Systeme", kommentiert Roland Schneider, District Manager Central and Eastern Europe bei Decru in Düsseldorf.
Nicht nur beim Schutz sensibler Daten gegen Angriffe von außen, sondern auch bei einer missbräuchlichen Nutzung durch nicht autorisierte Mitarbeiter bedürfe es erheblicher technischer und organisatorischer Anstrengungen. Administrations- und Nutzungsrechte für Daten müssten klar voneinander getrennt sein.
Noch ein Blick auf die Entwicklung der Budgets für ITK-Sicherheit: Fast die Hälfte der Unternehmen (47 Prozent) will 2008 mehr Geld dafür auszugeben.
Auffallend ist, dass 53 Prozent der kleineren Unternehmen mit 500 bis 1000 Mitarbeitern ihr Budget erhöhen wollen. Bei Unternehmen mit mehr als 1000 Mitarbeitern sind es lediglich 39 Prozent.
Im Rahmen der Studie befragte Berlecon im März rund 100 ITK-Verantwortliche. Die Untersuchung, einschließlich Grafiken, ist über die Web-Seite von Damovo verfügbar.
