| Management blockiert Sicherheit
Für fast ein Drittel der deutschen Top-Manager gilt IT-Sicherheit immer noch als "lästiges Übel". In der aktuellen KES/KPMG- Sicherheitsstudie bescheinigen die befragten IT-Profis ihrer Führungsriege fehlendes Bewusstsein und ungenügende Kenntnisse in Sachen Informationssicherheit. Neue Technologien bleiben da leicht auf der Strecke.
Das größte Hindernis für mehr Sicherheit in der Informations- verarbeitung ist mangelndes Bewusstsein: bei den Mitarbeitern (in 65 % der Unternehmen), aber auch beim mittleren (61 %) und Top-Management (50 %). Zu wenig Geld sahen "nur" 46 Prozent der Teilnehmer an der KES/KPMG-Sicherheitsstudie 2002 als Problem. Auch den Kenntnisstand des Top-Managements beurteilen die befragten IT-Profis zu 62 Prozent
als mittel oder "eher schlecht". Und daran dürfte sich so schnell nichts ändern: Denn für fast ein Drittel steht fest, dass ihr Top-Management Informationssicherheit eher nur als "lästiges Übel" ansieht.
Alle zwei Jahre untersucht die Fachzeitschrift KES, heuer in Zusammenarbeit mit dem Beratungsunternehmen KPMG, die Lage der Informationssicherheit in großen deutschen Unternehmen. Und seit 1994
hat sich, ungeachtet aller Sicherheits-Diskussionen, an der Einstellung der Top-Manager kaum etwas geändert: Damals hatten sogar 35 Prozent der Befragten den mangelhaften Stellenwert der Sicherheit beim Management beklagt, vor zwei Jahren waren es noch 30 Prozent, heute 29 Prozent.
Wo Geld und Unterstützung durch das Management fehlen, verwundert es nicht, dass die breit beworbenen Sicherheitstechnologien der letzten
Jahre in der Praxis wenig eingesetzt werden. Selbst große Unternehmen, die Firewalls und Anti-Virus-Software praktisch flächendeckend nutzen, haben nur relativ selten Intrusion Detection Systems (IDS) und Public Key Infrastructures (PKI) installiert. Auch hochwertige digitale Signaturen und vor allem biometrische Systeme sind Mangelware.
Nur etwa ein Viertel der befragten Unternehmen nutzt beispielsweise digitale Signaturen in der B2B-Kommunikation (Business to Business);
beim E-Government sind es bis dato sogar nur sechs Prozent. Und wenn Signaturen im Einsatz sind, dann vorrangig als reine Softwarelösungen; Chipkarten liegen auf einem abgeschlagenen zweiten Platz. Und selbst dabei handelt es sich überwiegend um einfache Systeme: Teure Kartenterminals mit eigener Tastatur oder Anzeigeeinheiten sind wenig gefragt (so genannte Klasse-2- bzw. Klasse-3-Leser). Gleiches gilt für
die höherwertigen gesetzeskonformen Signaturen, die bei den meisten Befragten "nicht vorgesehen" sind. Dabei haben die vergleichsweise einfach zu implementierenden "fortgeschrittenen" Signaturen noch die besten Aussichten. Die höchste (und teuerste) Norm der "qualifizierten elektronischen Signaturen mit Anbieterakkreditierung" hat kaum Aussicht auf weiteren Zulauf.
Einfache Installation und Anwendung bleiben auch bei der
Authentisierung Trumpf: Hier dominieren weiterhin die simplen Passwörter. Biometrische Verfahren sind nur bei maximal fünf Prozent vorhanden und sollen bei mehr als der Hälfte der Antwortenden auch zukünftig nicht angeschafft werden. Public Key Infrastructures haben etwa 20 Prozent der befragten Unternehmen implementiert, über 50 Prozent planen das jedoch. Ziel der Systeme ist allerdings vorrangig die Verschlüsselung, die zumindest selektiv schon heute stark genutzt
wird: beispielsweise auf 53 Prozent der Client-Systeme/PCs für sensitive Dateien (für weitere 33 % geplant). Und 41 Prozent der erfassten mobilen Endgeräte arbeiten schon heute mit einer komplett verschlüsselten Festplatte. Wo in der E-Mail-Kommunikation ein Chiffrierschlüssel des Partners vorliegt, nutzen ihn immerhin 44 Prozent der Befragten zumindest für sensitive Nachrichten, 13 Prozent für jegliche Kommunikation mit Externen. Dabei kommt übrigens auch im
Unternehmensbereich der (Open)PGP-Standard doppelt so häufig zum Einsatz wie S/MIME.
Automatisierte Angriffserkennung befindet sich in der Anlaufphase: Rund 40 Prozent der Teilnehmer an der Studie haben Intrusion Detection Systems bereits realisiert, etwa genauso viele planen dies. Bei allen Zahlen sollte man beachten, dass die Stichprobe der KES/KPMG-Studie eher positiv verzerrt sein dürfte, da die Teilnehmer aus einem
besonders sensiblen Umfeld kommen: Rund 20 Prozent der befragten Unternehmen gehören der Kreditwirtschaft an, jeweils 10 Prozent sind Versicherungen, Behörden oder Berater. Im Durchschnitt beschäftigt jede dieser Institutionen mehr als 10 Mitarbeiter ausschließlich für die Informationssicherheit, die IT-Infrastruktur des durchschnitt- lichen Teilnehmers umfasst mehr als 7 Mainframes, 200 Server, 4500 Clients/PCs und 600 mobile Endgeräte (Notebooks, PDAs usw.).
Eine Möglichkeit zur kostenlosen Sensibilisierung und Weiterbildung bieten im Herbst - übrigens nicht nur für Mitarbeiter und Manager der "Großen" - die Vortragsbühnen der IT-SecurityArea auf der Münchner Computermesse SYSTEMS. Vom 14. bis 18. Oktober teilen Experten aus der Sicherheitsbranche dort während des gesamten Messetages ihr Fachwissen mit den Besuchern (Programm siehe www.it-security-area.de). Beispiels-
weise werden täglich von 12.30 bis 13.30 Uhr ganz praxisnah die Möglichkeiten der digitalen Signatur erklärt: Wer will, kann direkt vor Ort einsteigen. Zumindest aber weiß man anschließend exakt, worum es geht und ob die neuen Möglichkeiten für das eigene Unternehmen von Nutzen sind. |