IT-Security-Praxis in Deutschland: Schwachstellen in der IT-Security bleiben häufig unentdeckt

Mangel an Know-how und Budget lässt Sicherheitslücken klaffen

(24.11.11) - Trotz zunehmender Bedrohungen für die Geschäftsdaten und hoch entwickelter Angriffe auf die IT setzen deutsche Unternehmen für die Absicherung ihrer sensitiven Informationen nur selten auf die nötigen IT Security Controls - also Maßnahmen für die Prävention, Bearbeitung und Minimierung geschäftlicher Risiken. Zu diesem Ergebnis kommt die jetzt von der IDC vorgestellte Studie zum Status der IT-Security-Praxis in Deutschland: "Sind Ihre sensitiven Daten sicher?"

Für die im Auftrag von Tripwire Inc. durchgeführte Erhebung haben Analysten der IDC die IT-Security-Verantwortlichen in 150 deutschen Unternehmen befragt. Danach findet das Thema Security und Compliance in den deutschen Organisationen zwar zunehmend Berücksichtigung. Generell scheint aber die IT-Sicherheit, gemessen am Grad der Automatisierung von IT-Security-Controls, in Deutschland noch auf einem niedrigen Stand zu sein.

Dabei wissen die Unternehmen genau, welche Daten als besonders sicherheitsrelevant zu bewerten sind und wie sie die Gefahren im Falle einer Sicherheitslücke einzuschätzen haben. Über 95 Prozent der Befragten gehen davon aus, dass ein Datenverlust zu einem Vertrauensverlust beim Kunden und negativen Auswirkungen auf das Image des Unternehmens führen wird. Hinzu kommen Umsatzverluste (67,3 Prozent), Schadenersatz, Wiederherstellungskosten, Vertragsstrafen und höhere Betriebskosten (66,7 Prozent), gesetzliche Strafen und Bußgelder (52,7 Prozent) sowie der Verlust des eigenen Jobs (12,7 Prozent).

Sicherheitslücken und deren Auswirkungen, wie z. B. eingeschleuster Schadcode, kompromittierte Daten und Dateien sowie jeglicher, unbefugte Zugriff auf die IT-Infrastruktur, müssen also umgehend entdeckt und geschlossen bzw. behoben werden. In der Befragung gibt jedoch weniger als die Hälfte der Unternehmen an, im Falle eines erfolgreichen Angriffs auf die IT die Ursache und alle nicht autorisierten Eingriffe schnell herausfinden und identifizieren zu können. 51 Prozent der Organisationen fühlen sich dazu jedoch nur teilweise in der Lage oder fürchten, diesen Anforderungen nicht gewachsen zu sein. Damit bleibt ein Großteil der Schwachstellen in der IT-Security unentdeckt.

Es gibt sehr unterschiedliche Gründe für das Versagen der IT-Security bei der Erkennung und Schließung von Sicherheitslücken. Der Studie zufolge sind die drei häufigsten der Mangel an passenden Fachkräften (48,7 Prozent), fehlendes internes Know-how (42,7 Prozent) und ein zu kleines Budget für den Kauf geeigneter Technologien (39 Prozent). Es besteht also ein hoher Bedarf, entsprechende Fähigkeiten im Unternehmen aufzubauen. Dabei muss genau darauf geachtet werden, dass die knappen Ressourcen dort zum Einsatz kommen, wo Angriffe am wahrscheinlichsten und am schwerwiegendsten sind.

Stand heute setzen nach eigenen Angaben zwar 90 Prozent der befragten Unternehmen grund-legende Basis-Controls wie Malwareschutz, Datenwiederherstellung und Informationssicherheits-richtlinien ein. Aber tiefergehende Instrumente, die Schwachstellen in der IT-Security aufdecken und Abhilfe schaffen könnten (Security Configuration Management, Störfallbearbeitungen, Auslastungs-tests) werden bisher kaum genutzt. Auch die Prüfung (Audit) der Effektivität von "IT Security Controls" ist ein wichtiges Element zur Messung der Qualität einer sicheren Infrastruktur. 24 Pro-zent der Befragten geben aber an, solche Prüfungen niemals durchzuführen, 53,3 Prozent der Unternehmen nehmen solche Audits gerade einmal jährlich vor. (Tripwire: ra)