Die IT-Security-Studie der InformationWeek gibt nur wenig Anlass zu erfreulichen Nachrichten. Viele Punkte haben sich bei Unternehmen im deutschsprachigen Raum im Vergleich zu 2007 weiter verschlechtert.

Die meisten Unternehmen im deutschsprachigen Raum schützen ihre physikalischen Strukturen durch aufwendige Sicherheitsschleusen. Dagegen pflegen sie bei den digitalen Strukturen oft eine lockere Offenheit, die man wohl besser als fahrlässige Sorglosigkeit bezeichnen sollte. Und es wird nicht besser, sondern schlechter, wie die diesjährige IT-Security-Studie der InformationWeek aufzeigt. Frappantestes Beispiel für wachsende Fahrlässigkeit: In 2007 gaben immerhin noch 71,1 Prozent der befragten IT-Manager, Systemadministratoren und kaufmännischen Führungspersonen zu Protokoll gaben, dass ihr Unternehmen Verfahren zur Sicherung von vertraulichen Daten einsetzt. Jetzt sind es sage und schreibe nur noch 57,5 Prozent, die an dieser Stelle Maßnahmen ergreifen.

Die Schlussfolgerung: Fast die Hälfte der Unternehmen tut nach Einschätzung der Antwortenden wenig bis nichts dafür für den Schutz ihrer Daten. Einmal ganz zu schweigen davon, welche Befürchtungen dieses Ergebnis für den Spezialfall Personendaten hervorruft. Die jüngst bekannt gewordenen Fälle eines offenbar schwunghaften Handels mit solchen Daten verwundert deshalb nicht. Abnehmer für schlecht oder gar nicht gesicherte Daten gibt es zuhauf: Die »Dienste« befreundeter oder auch weniger befreundeter Regierungen greifen darauf ebenso gern zu wie Marktbegleiter aus dem In-und Ausland.

Viel Unwissenheit an der Peripherie

Gut in das skizzierte Bild passt: Gerade einmal 15 Prozent der befragten Unternehmen sorgt mit entsprechenden Tools dafür, dass die Geräte, die sie ans Firmennetz lassen, auch ausreichend verlässlich sind. Nun ist Endgeräte-Sicherheit mehr als nur das Sorgetragen dafür, dass der PC, der ans Netz will, auch einen aktuellen Virenschutz besitzt. Unter Endgerätesicherheit sollte auch und vor allem das sichere Management der vielen Peripherie-Winzlinge verstanden werden: Sie lassen sich in erster Linie über die USB-Schnittstelle andocken und können mittlerweile große Datenmengen absaugen.

Gerade einmal 27,4 Prozent der Unternehmen setzen hier entsprechende Sicherungs- und Steuerungswerkzeuge ein. Verwunderlich ist bei der Beantwortung der entsprechenden Frage die hohe Zahl der »Weiß-nicht«-Antworten: 45,5 Prozent der Antwortenden wissen nicht, ob Werkzeuge zur Absicherung der Peripherie eingesetzt. Dabei geht es um Maßnahmen, die einen ungewollten Datenabfluss verhindern. Auch bei der Umfrage letztes Jahr war die Zahl der Unwissenden auf diesem Feld mit 41,1 Prozent schon sehr hoch. In diesem Jahr ist sie leider noch einmal gestiegen.

1. IT-Security 2008: Ungeliebtes Thema Sicherheit
2. Mangelndes Risikomanagement
3. IT-Sicherheit selten im Pflichtenheft