IT-Security ist ein Prozess: Experten erwarten Verdopplung der Ausgaben für IT-Sicherheit

Auch mit der intelligentesten Technologie ist man nicht automatisch vor Angriffen geschützt

(20.02.07) - Bereits die ersten Wochen des Jahres haben gezeigt, dass die Gefahren für die Datennetze europäischer Unernehmen und Privatanwender ständig zunehmen. Gefälschte E-Mails, deren Absender das Bundeskriminalamt, die Gebühreneinzugszentrale (GEZ) oder der Telekom-munikationsunternehmen 1&1 gewesen sein sollten, waren wohl nur der Auftakt. "Die Internet-Gefahren nehmen sowohl in Quantität als auch in Qualität deutlich zu", sagt Michael Hange, Vizepräsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI).

Einer Umfrage der Nationalen Initiative für Internetsicherheit zufolge werden deutsche Unternehmen bis 2011 ihre Ausgaben für die Informationssicherheit deutlich erhöhen. Knapp ein Viertel der Befragten geht demnach davon aus, dass sie ihre Budgets für IT-Sicherheit um 50 Prozent aufstocken. 18 Prozent wagen die Prognose, dass sich die Ausgaben in diesem sensiblen Bereich sogar verdoppeln. "Das ist ein erfreuliches Ergebnis, auch wenn die in Kraft getretenen Richtlinien zu Basel II diesen Umstand sicherlich begünstigen und nicht alle Unternehmen aus Überzeugung in die Sicherheit investieren", kommentiert Nifis-Vorstandsvorsitzender Peter Knapp.

Bei vielen Unternehmen steht die Aufklärung und Schulung von Mitarbeitern sowie die Etablierung einer unternehmensweiten Security-Policy mit entsprechenden Verhaltensregeln im Fokus, so die Teilnehmer der Untersuchung. Die Studie hatte unter anderem ermittelt, dass nach Ansicht der Befragten derzeit die größte Gefahr für die Informationssicherheit eines Unternehmens von den eigenen Angestellten ausgeht. Trotzdem glauben nur 30 Prozent der Branchenkenner, dass die Verantwortung der IT-Sicherheit in deutschen Unternehmen formell geregelt ist und es dazu auch schriftliche Regeln gibt. "Hier besteht definitiv noch Nachholbedarf. Zumindest die mittelständischen und großen Unternehmen sollten einen schriftlichen Verhaltenscodex etablieren, der den Umgang mit Daten verbindlich regelt", so Nifis-Chef Knapp. 79 Prozent der Befragten gehen außerdem davon aus, dass Betriebe in Zukunft Maßnahmen zur Gewährleistung der Informationssicherheit durch eine neutrale Institution überprüfen und zertifizieren lassen. 48 Prozent antworteten auf die entsprechende Frage mit einem klaren "ja". Von Vorteil ist dabei, dass eine neutrale Instanz die Sicherheitsvorkehrungen und Prozesse auf Lücken testet. Die Bestätigung eines hohen Grades an Sicherheit hat außerdem eine sehr starke Außenwirkung. Zudem sei auf diese Weise eine permanente Überprüfung der eingesetzten Sicherheitsvorkehrungen sowohl in technischer wie auch in organisatorischer Hinsicht gewährleistet, so die Initiative.

Die Ergebnisse der Studie bestätigt man auch beim Stuttgarter ITK-Systemintegrator Nextiraone. Das Unternehmen informierte bei einer Security-Roadshow Kunden und Interessierte über die Gefahren für die Datennetze und Möglichkeiten, dem entgegenzuwirken. "Auch mit der intelli-gentesten Technologie sind Sie nicht automatisch vor Angriffen geschützt. Ein gutes Beispiel dafür, dass der Missbrauch um sich greift, sind Abrechnungsbetrug und Identitätsdiebstahl", sagt Matthias Schütte, Sicherheitsspezialist bei Nextiraone. Besonderes Augenmerk gilt dem Faktor Mensch. "Mitarbeiter sind immer öfter Ursache dafür, dass auch wertvolle und vertrauliche Unternehmensinformationen ungeschützt dem Zugriff Unbefugter ausgesetzt sind." Ein Großteil der Ursachen für Attacken auf das eigene Netzwerk sei daher im eigenen Unternehmen zu finden. Das könnten sowohl beabsichtigte Manipulationen von Mitarbeitern sein, aber auch durch Nachlässig-keiten und Unwissenheit verursachte Schäden. (Nextiraone: ra)