Management blockiert Sicherheit

Für fast ein Drittel der deutschen Top-Manager gilt IT-Sicherheit
immer noch als "lästiges Übel". In der aktuellen KES/KPMG-
Sicherheitsstudie bescheinigen die befragten IT-Profis ihrer
Führungsriege fehlendes Bewusstsein und ungenügende Kenntnisse in
Sachen Informationssicherheit. Neue Technologien bleiben da leicht auf
der Strecke.


Das größte Hindernis für mehr Sicherheit in der Informations-
verarbeitung ist mangelndes Bewusstsein: bei den Mitarbeitern (in 65 %
der Unternehmen), aber auch beim mittleren (61 %) und Top-Management
(50 %). Zu wenig Geld sahen "nur" 46 Prozent der Teilnehmer an der
KES/KPMG-Sicherheitsstudie 2002 als Problem. Auch den Kenntnisstand
des Top-Managements beurteilen die befragten IT-Profis zu 62 Prozent
als mittel oder "eher schlecht". Und daran dürfte sich so schnell
nichts ändern: Denn für fast ein Drittel steht fest, dass ihr
Top-Management Informationssicherheit eher nur als "lästiges Übel"
ansieht.

Alle zwei Jahre untersucht die Fachzeitschrift KES, heuer in
Zusammenarbeit mit dem Beratungsunternehmen KPMG, die Lage der
Informationssicherheit in großen deutschen Unternehmen. Und seit 1994
hat sich, ungeachtet aller Sicherheits-Diskussionen, an der
Einstellung der Top-Manager kaum etwas geändert: Damals hatten sogar
35 Prozent der Befragten den mangelhaften Stellenwert der Sicherheit
beim Management beklagt, vor zwei Jahren waren es noch 30 Prozent,
heute 29 Prozent.

Wo Geld und Unterstützung durch das Management fehlen, verwundert es
nicht, dass die breit beworbenen Sicherheitstechnologien der letzten
Jahre in der Praxis wenig eingesetzt werden. Selbst große Unternehmen,
die Firewalls und Anti-Virus-Software praktisch flächendeckend nutzen,
haben nur relativ selten Intrusion Detection Systems (IDS) und Public
Key Infrastructures (PKI) installiert. Auch hochwertige digitale
Signaturen und vor allem biometrische Systeme sind Mangelware.

Nur etwa ein Viertel der befragten Unternehmen nutzt beispielsweise
digitale Signaturen in der B2B-Kommunikation (Business to Business);
beim E-Government sind es bis dato sogar nur sechs Prozent. Und wenn
Signaturen im Einsatz sind, dann vorrangig als reine Softwarelösungen;
Chipkarten liegen auf einem abgeschlagenen zweiten Platz. Und selbst
dabei handelt es sich überwiegend um einfache Systeme: Teure
Kartenterminals mit eigener Tastatur oder Anzeigeeinheiten sind wenig
gefragt (so genannte Klasse-2- bzw. Klasse-3-Leser). Gleiches gilt für
die höherwertigen gesetzeskonformen Signaturen, die bei den meisten
Befragten "nicht vorgesehen" sind. Dabei haben die vergleichsweise
einfach zu implementierenden "fortgeschrittenen" Signaturen noch die
besten Aussichten. Die höchste (und teuerste) Norm der "qualifizierten
elektronischen Signaturen mit Anbieterakkreditierung" hat kaum
Aussicht auf weiteren Zulauf.

Einfache Installation und Anwendung bleiben auch bei der
Authentisierung Trumpf: Hier dominieren weiterhin die simplen
Passwörter. Biometrische Verfahren sind nur bei maximal fünf Prozent
vorhanden und sollen bei mehr als der Hälfte der Antwortenden auch
zukünftig nicht angeschafft werden. Public Key Infrastructures haben
etwa 20 Prozent der befragten Unternehmen implementiert, über 50
Prozent planen das jedoch. Ziel der Systeme ist allerdings vorrangig
die Verschlüsselung, die zumindest selektiv schon heute stark genutzt
wird: beispielsweise auf 53 Prozent der Client-Systeme/PCs für
sensitive Dateien (für weitere 33 % geplant). Und 41 Prozent der
erfassten mobilen Endgeräte arbeiten schon heute mit einer komplett
verschlüsselten Festplatte. Wo in der E-Mail-Kommunikation ein
Chiffrierschlüssel des Partners vorliegt, nutzen ihn immerhin 44
Prozent der Befragten zumindest für sensitive Nachrichten, 13 Prozent
für jegliche Kommunikation mit Externen. Dabei kommt übrigens auch im
Unternehmensbereich der (Open)PGP-Standard doppelt so häufig zum
Einsatz wie S/MIME.

Automatisierte Angriffserkennung befindet sich in der Anlaufphase:
Rund 40 Prozent der Teilnehmer an der Studie haben Intrusion Detection
Systems bereits realisiert, etwa genauso viele planen dies. Bei allen
Zahlen sollte man beachten, dass die Stichprobe der KES/KPMG-Studie
eher positiv verzerrt sein dürfte, da die Teilnehmer aus einem
besonders sensiblen Umfeld kommen: Rund 20 Prozent der befragten
Unternehmen gehören der Kreditwirtschaft an, jeweils 10 Prozent sind
Versicherungen, Behörden oder Berater. Im Durchschnitt beschäftigt
jede dieser Institutionen mehr als 10 Mitarbeiter ausschließlich für
die Informationssicherheit, die IT-Infrastruktur des durchschnitt-
lichen Teilnehmers umfasst mehr als 7 Mainframes, 200 Server, 4500
Clients/PCs und 600 mobile Endgeräte (Notebooks, PDAs usw.).

Eine Möglichkeit zur kostenlosen Sensibilisierung und Weiterbildung
bieten im Herbst - übrigens nicht nur für Mitarbeiter und Manager der
"Großen" - die Vortragsbühnen der IT-SecurityArea auf der Münchner
Computermesse SYSTEMS. Vom 14. bis 18. Oktober teilen Experten aus der
Sicherheitsbranche dort während des gesamten Messetages ihr Fachwissen
mit den Besuchern (Programm siehe www.it-security-area.de). Beispiels-
weise werden täglich von 12.30 bis 13.30 Uhr ganz praxisnah die
Möglichkeiten der digitalen Signatur erklärt: Wer will, kann direkt
vor Ort einsteigen. Zumindest aber weiß man anschließend exakt, worum
es geht und ob die neuen Möglichkeiten für das eigene Unternehmen von
Nutzen sind.
 

Professionelle
Personenschutzausbildung

hier klicken

Anzeige

Copyright SecuMag - Online 2005