Rubrik: Markt/Studien

Noch fehlt in deutschen Unternehmen ein übergreifendes ITK-Sicherheitskonzept

Ganzheitliche Analyse der ITK-Security vom Rechenzentrum bis zu
mobilen Endgeräten

(10.05.07) - Die ITK-Sicherheit in deutschen Unternehmen ist lückenhaft. Punktlösungen statt einheitlicher Konzepte: Zu diesem Ergebnis kommt eine aktuelle Studie zum Zustand der ITK-Security in deutschen Unternehmen. Der Report mit dem Titel "ITK-Sicherheit auf dem Prüfstand" wurde von Berlecon Research erstellt.

Anzeige

Noch fehlt vielerorts in deutschen Unternehmen ein übergreifendes ITK-Sicherheitskonzept, das die Bereiche Technologie, Organisation und Mitarbeiter ganzheitlich betrachtet. Statt End-to-end-Konzepte dominieren bei der ITK-Sicherheit Punktlösungen. Segmente mit Nachholbedarf, beispielsweise mobile Endgeräte, bilden daher ein beachtliches Sicherheitsrisiko. Auch wenn in Einzelbereichen die technischen Sicherheitsmaßnahmen recht gut umgesetzt sind: Insbesondere bei der organisatorischen und rechtlichen Absicherung der technischen Maßnahmen hapert es noch. Dies sind einige der zentralen Ergebnisse der Studie "ITK-Sicherheit auf dem Prüfstand - Ganzheitliche Konzepte und ihre Umsetzung in deutschen Unternehmen".

Das Analysten- und Beratungshaus Berlecon Research befragte dazu mehr als 100 CIOs und ITK-Leiter in Unternehmen mit mindestens 500 Beschäftigten. Die Studie liefert eine Bestandsaufnahme der wichtigsten Sicherheitsthemen in deutschen Unternehmen. Sie beleuchtet Herausforderungen und Erfahrungen in der Planung und Umsetzung von Sicherheitskonzepten - technologisch und organisatorisch. Im Mittelpunkt der technologischen Aspekte standen Fragen nach den eingesetzten Sicherheitsmaßnahmen bei Servern, Storage-Systemen, Netzwerken und mobilen Endgeräten sowie der Integration der Sicherheitskomponenten. Zu Einzelaspekten der ITK-Security liegt bereits eine Vielzahl von Ergebnissen im Markt vor. Das besondere an dieser Umfrage: Es gibt erstmals eine ganzheitliche Analyse der ITK-Security vom Rechenzentrum bis zu mobilen Endgeräten. Initiiert wurde die Studie vom ITK-Systemintegrator Damovo, dem Storage-Security-Spezialisten Decru (Unternehmen von NetAppNetwork Appliance) und Nortel, einem führenden Anbieter von sicheren Kommunikationslösungen.

Eines der wichtigsten Ergebnisse: Einheitliche und umfassende Security-Richtlinien haben erst 54 Prozent der Befragten vollständig umgesetzt und Compliance-Vorschriften lediglich 43 Prozent. Regelmäßige Sicherheitsschulungen - eine der wichtigsten Voraussetzungen für eine wirksame ITK-Security - führen lediglich 43 Prozent durch. Auch haben erst 57 Prozent Maßnahmen ergriffen, die ein reibungsloses Zusammenspiel der im Einsatz befindlichen technischen Sicherheits-komponenten ermöglichen.

Einzelne Bereiche sind bereits recht gut abgesichert. So hat der überwiegende Teil der Befragten Maßnahmen zum Schutz vor unberechtigten Datenzugriffen von außen getroffen. 79 Prozent der Befragten verschlüsseln den Datenverkehr oder planen dies. Aber nur 30 Prozent der Unternehmen, die VoIP nutzen, verschlüsseln den Sprachverkehr oder planen dies. In den Unternehmensnetzen sind die Daten demnach besser geschützt als die Sprache.

Bei der Beurteilung aktueller Sicherheitsrisiken stehen "alte Bekannte" wie Malware, Trojaner, Viren und Würmer (sehr hohes und eher hohes Risiko: 52 Prozent) an erster Stelle. Auf Platz zwei folgt Spam (sehr hohes und eher hohes Risiko: 46 Prozent) und auf dem dritten Platz liegen gezielte Angriffe auf die Verfügbarkeit der ITK-Systeme (sehr hohes und eher hohes Risiko: 31 Prozent). Bemerkenswert in dem Zusammenhang: Für 47 Prozent bilden die unberechtigten Zugriffe der eigenen Mitarbeiter auf unternehmenskritische Datenbestände ein ernst zu nehmendes Sicherheitsrisiko. Zugespitzt formuliert: Der Schutz vor den eigenen Mitarbeitern darf kein Tabu sein. Handlungsbedarf sehen die Unternehmen auch bei der Sicherheit mobiler Endgeräte und der Verschlüsselung externer Datenträger wie USB-Sticks.

Immerhin 11 Prozent der Befragten sehen in Consumer-Technologien wie Skype ein "sehr hohes Risiko", 18 Prozent bezeichnen das Risiko als "hoch". Die Begründung: Ohne dass die IT-Abteilung davon etwas weiß, können Mitarbeiter zum Beispiel Skype völlig außerhalb aller Security-Konzepte nutzen. Einen weiteren Unsicherheitsfaktor bilden mobile Endgeräte: 10 Prozent schätzen das Sicherheitsrisiko für ihr Unternehmen als "sehr hoch" ein, weitere 32 Prozent als "hoch". Die Mobilität von Mitarbeitern und die damit verbundenen Geschäftsprozesse werden demnach als beachtliches Risiko wahrgenommen. Das geringste Risikobewusstsein haben die ITK-Verantwort-lichen in Bezug auf IP-basierte Telefonie ("sehr hohes Risiko": 7 Prozent) und die Übertragung von Daten und Sprache über drahtlose Netze ("sehr hohes Risiko": 6 Prozent).

"Trotz aller Fortschritte gehen Unternehmen in einigen Bereichen der ITK-Security ziemlich fahrlässig mit wichtigen Daten um. Das gilt nicht nur für mobile Speichergeräte, sondern auch für die internen Storage-Systeme", kommentiert Roland Schneider, District Manager Central and Eastern Europe bei Decru in Düsseldorf. "Nicht nur beim Schutz sensibler Daten gegen Angriffe von außen, sondern auch bei einer möglichen missbräuchlichen Nutzung durch nicht autorisierte Mitarbeiter bedarf es erheblicher technischer und organisatorischer Anstrengungen, damit Unternehmen sich sicher fühlen können. Administrations- und Nutzungsrechte für Daten müssen klar voneinander getrennt sein."

Solche Aspekte finden in der ITK-Sicherheitsdiskussion bislang zu wenig Beachtung. Die einmalige Installation technischer Sicherheitsmaßnahmen wie Virenscanner, Firewalls oder Systeme zum zentralen Gerätemanagement bringt wenig, wenn sie nicht durch organisatorische Maßnahmen abgesichert wird.

Gefragt wurde schließlich auch nach der Entwicklung der Sicherheitsbudgets. Fast die Hälfte aller Unternehmen (47 Prozent) plant, 2008 mehr Geld für ITK-Security auszugeben. Auffallend ist, dass 53 Prozent der kleineren Unternehmen (der Studie zufolge solche mit 500 bis 999 Mitarbeitern) ihr Budget erhöhen wollen. Bei Unternehmen mit mehr als 1.000 Mitarbeitern sind es lediglich 39 Prozent.

"Steigende Budgets sind ein wichtiger Indikator dafür, dass Unternehmen mehr in ITK-Security investieren wollen und das Thema höhere Priorität genießt als bislang. Auch wenn technisch bereits vieles getan wurde, bedarf es einer kontinuierlichen Aktualisierung der Security-Einrichtungen", sagt Martin Böker, Business Leader Enterprise Central Europe bei Nortel in Frankfurt am Main. "Einheitliche und umfassende Sicherheitsrichtlinien sind hier eine wichtige Rahmenbedingung. Der hohe Sicherheitsstandard in der Telekommunikation bildet eine gute Messlatte, um vom Rechen-zentrum über Storage-Systeme und Server bis hin zu Notebooks und Smartphones ein durchgängig hohes Sicherheitsniveau in den Unternehmen zu erreichen. Als Hersteller ist es unsere Aufgabe, Technologien anzubieten, die es den ITK-Verantwortlichen ermöglichen den Sicherheitsstatus in ihrem Unternehmen transparent zu machen sowie wirksam steuern und kontrollieren zu können."

Christoph J. Ferdinand, Geschäftsführer von Damovo in Deutschland, ergänzt: "Noch gibt es in den Unternehmen kein einheitliches Schutzniveau auf allen Ebenen der ITK-Infrastruktur. Auch wenn die technischen Maßnahmen recht weit fortgeschritten sind, gibt es noch beträchtliche Lücken, speziell im Bereich der mobilen Endgeräte. Den größten Nachholbedarf sehen wir bei der Umsetzung organisatorischer und rechtlicher Maßnahmen. Compliance-Vorschriften sind hier nur ein Beispiel. Mindestens ebenso wichtig sind regelmäßige Schulungen, um das Risikobewusstsein aller Mitarbeiter zu schärfen." (Damovo: Decru: Network Appliance: ra)

 
 

 

Diesen Beitrag per E-Mail versenden Diesen Beitrag ausdrucken