Aktuell

KES/Utimaco-Sicherheits-Studie 2000

Hacker und Viren: Die Welt in der Internet-Falle? (I)

Von Gerhard Hunnius, Darmstadt

Die Ergebnisse der KES/Utimaco-Sicherheitsstudie zeigen es deutlich: Eine Virenkatstrophe, wie sie durch "ILOVEYOU" und seine Nachfolger verursacht wurde, war vorhersehbar. Schon 1999 schlichen sich Viren in 45 Prozent der Fälle per E-Mail in Unternehmen ein. Prominentestes Beispiel war Ende März 1999 der Word-Makrovirus "Melissa". Obwohl Makroviren bereits damals die Hauptinfektionsquelle darstellten, hatte ein Großteil der Anwender keinen Verdacht geschöpft –mit ILOVEYOU hat sich die Geschichte nun wiederholt. Dazu passt, dass die von KES befragten Firmen–wie schon in früheren Untersuchungen–die bedeutendste Gefahr für die IT-Sicherheit in "Irrtum und Nachlässigkeit eigener Mitarbeiter" sehen: So haben Makroviren beste Überlebenschancen. Wie sich die weitere Risikosituation in den Unternehmen darstellt, lesen Sie in diesem ersten Teil der Auswertung.

Zum neunten Mal seit 1985 haben der SecuMedia Verlag und die Fachzeitschrift KES die Befragung zur Sicherheit in der Informationstechnik durchgeführt. 176 Unternehmen haben sich an der aktuellen Studie beteiligt. Ihnen allen gilt der besondere Dank, ebenso den Sponsoren dieser Untersuchung, die basierend auf ihrer praktischen Erfahrung sehr wichtige fachkundige Anregungen und Fragestellungen eingebracht haben.

Teilnehmer der Untersuchung sind vornehmlich Unternehmen, die hinsichtlich des Standes der Informationssicherheit als Innovatoren und erfahrene Anwender zu bezeichnen sind. Zumindest ist der Teilnehmerkreis überdurchschnittlich an Sicherheit in der Informationstechnik interessiert. Sie sind die "Vorreiter" in Sachen ISi und belegen einen Status, der sicherlich noch nicht der Normalzustand in der Wirtschaft ist. Die Ergebnisdarstellung orientiert sich wie in den Berichten der vergangenen Jahre weitgehend der Abfolge der Themen im Fragebogen, auch wenn in den Teilkapiteln auf die Ergebnisse zu Fragen aus anderen Kapiteln zurückgegriffen wird. Im Text und in den Abbildungen wird jeweils die Nummer der Frage genannt, auf die sich die Darstellungen beziehen.

International

Alle Ergebnisse dieser Studie gelten gleichermaßen für Deutschland und die Schweiz. Hier hat sich im Laufe der letzten Jahre die Risikosituation im Wesentlichen angenähert. Ähnliches gilt vermutlich auch für Österreich.

Die Risikosituation

In den grundlegenden Aspekten ist die Risikosituation heute nicht wesentlich anders als in den vergangenen Jahren. Praktisch unverändert gelten Irrtum und Nachlässigkeit eigener Mitarbeiter als das bedrohlichste Risiko für die Informationssicherheit in den Unternehmen. An zweiter Stelle folgen die Software-Anomalien, und zwar mit steigender Tendenz. An dritter Stelle folgen Hardware-bedingte Defekte; sie scheinen gegenüber den früheren Jahren weniger bedeutend zu sein. (Abbildung 1 zu Frage 1.01).

Die Einschätzungen der künftigen Entwicklung zeigen, dass lediglich die beiden Risiken Hardware-bedingte technische Defekte und höhere Gewalt weniger bedeutend werden. Bei allen anderen Risikoarten überwiegt die Meinung, diese nähmen zu.

Besonders bezüglich der Bedrohung durch Software-Anomalien, Software-bedingten technischen Defekten und Informationsdiebstahl/Spionage herrscht die Meinung vor, dass diese Risiken immer bedrohlicher werden. (Abbildungen 2 bis 5 zu Frage 1.02)

Diese Einschätzungen decken sich mit den Erfahrungen in den Unternehmen. Die Schadensfälle in den Unternehmen belegen ein schwerwiegendes und stets gegenwärtiges Bedrohungspotenzial. In etwa der Hälfte der Unternehmen waren in den letzten beiden Jahren mittlere bis größere Schäden durch Irrtum und Nachlässigkeit eigener Mitarbeiter entstanden und in fast einem Drittel Schäden durch Software-bedingte Defekte und in ebenfalls fast einem Drittel durch Software-Anomalien die Folge. (Abbildung 3 zu Frage 1.03)

100 der 176 befragten Unternehmen haben konkrete Schadensereignisse beschrieben. Die meisten Schäden wurden durch Software-Anomalien ausgelöst. In vielen Fällen war der Schaden nicht quantifizierbar–er reicht von Imageschäden über Verzögerungen und Ausfällen bis hin zum Verlust von Kunden. Der Ernst der Lage wird noch deutlicher, wenn der Wert der in den Unternehmen gespeicherten Daten berücksichtigt wird. In vielen Fällen würde der Verlust der Daten ganz einfach den Konkurs, das Ende des Unternehmens zur Folge haben. Sicherheit in der Informationstechnik ist für viele Unternehmen eine existentielle Bedingung.

Die Informationssicherheit (Abbildung 4 zu Frage 1.04) in den Unternehmen wird für die zentrale Datenverarbeitung, die dezentrale Datenverarbeitung und die Telekommunikation und Datenfernübertragung unterschiedlich beurteilt. Die ISi in der zentralen DV beurteilen etwa drei Viertel der Befragten als "gut" oder "sehr gut", die der dezentralen DV nur weniger als ein Viertel. Die Sicherheit der Telekommunikation/DFÜ wird einem Drittel als "gut" oder "sehr gut" eingeschätzt. Unternehmen mit "schlechten Erfahrungen" sind bei der Beurteilung etwas vorsichtiger als die anderen Unternehmen.

Fast alle (97%) der Unternehmen verfügen über Internet-Zugänge; in etwa 40% der Unternehmen wurden bereits Versuche zu unerlaubten Aktivitäten festgestellt. Die Hälfte der Befragten aus den betroffenen Unternehmen (21%) nannte Hackversuche, ein Drittel (15%) unbefugte Versuche, Daten zu lesen. Rund 90% der Unternehmen haben eine eigene Seite im Internet; darunter meldete etwa jedes zehnte Unternehmen bereits Versuche, die Seite unbefugt zu verändern. (Abbildung 5 zu Frage 1.05)

81% der befragten Unternehmen hatten in 1999 auch Vorfälle mit Software-Anomalien zu melden. Am häufigsten gelangten die Viren über Diskette (54%) und/oder E-Mail (53%) in die betroffenen Rechner. Insgesamt scheinen die Vorfälle mit Viren zuzunehmen; 36% der Unternehmen gaben an, dass sie in 1999 mehr Viren-Vorfälle hatten als noch in 1998 (20% weniger als 1998). Im Vergleich zur letzten Befragung haben die Infektionswege Diskette und internes Netz geringere Bedeutung, dagegen kamen die Viren häufiger (fast doppelt so häufig!) über E-Mail und das Internet. (Abbildungen 6 zu Frage 1.06)

Management und Organisation

Der Stellenwert der ISi hat sich auf der Ebene des Top-Managements in den Unternehmen kaum verändert: Immer noch klagt etwa die Hälfte der Befragten über mangelndes Bewusstsein und mangelnde Unterstützung im Top-Management, und wie in früheren Jahren scheint ISi für das Top-Management in einem Drittel der Unternehmen eher ein lästiges Übel zu sein als ein wichtiges Ziel der Informationsverarbeitung. (Abbildung 7 zu Frage 2.01)

Im grössten Teil der Unternehmen ist die Stelle eines Datenschutzbeauftragten eingerichtet (82%), und etwa 80% setzen Administratoren für die Aufgaben der zentralen und dezentralen Datenverarbeitung sowie für Netze und Telekommunikaton ein.

Speziell für die Informationssicherheit haben 30% einen zentralen ISi-Beauftragten, 17% dezentrale ISi-Beauftragte und 16% einen ISi-Ausschuss; in 41% der Unternehmen gibt es eine IV-Revision. 73% haben einen speziellen Benutzerservice eingerichtet. Sofern vorhanden sind gut die Hälfte der Datenschutzbeauftragten und der Stellen in der IV-Revision auf der ersten Managementebene angesiedelt. Bei allen anderen Stellen ist die Ansiedlung auf der ersten Managementebene eher die Ausnahme. (Abbildung 8 zu Frage 2.01)

Wenn es in einem Unternehmen spezielle mit ISi befasste Stellen gibt, dann sind diese meistens–aber nicht immer–auch an der Formulierung der ISi-Strategie beteiligt. Solche Stellen gibt es aber nur in der Minderheit der befragten Unternehmen. So ist es nicht verwunderlich, dass in den meisten Fällen die Leiter IV / DV für die Formulierung der Strategie (mit-) verantwortlich sind (41%). Nur in jedem fünften Unternehmen (18%) ist auch das Top-Management in die Strategiefindung einbezogen.

In vielen Unternehmen sind die Aufgaben der ISi (Durchführung von Risiko- und Sicherheitsanalysen, Entwicklung von Konzepten und Richtlinien und die Überprüfung der Wirtschaftlichkeit der IT-Sicherheit) der DV oder den DV-nahen Fachfunktionen überlassen. Die Aufgaben der Informationssicherheit liegen also in erster Linie in den Händen jener Personen, die ohnehin mit Datenverarbeitung zu tun haben, sei es als Systemverwalter, als Benutzerservice oder als Datenschutzbeauftragte. (Abbildung 9 zu Frage 2.03) Soweit es um die Beschaffung ISi-relevanter Systeme und Infrastruktur geht, liegt diese in den meisten Fällen wesentlich in der Hand der Leiter IV/DV.

Strategie und Konzept

Über die Hälfte der Unternehmen (Abbildung 10 zu Frage 3.01) hat eine schriftlich fixierte Strategie für Informationsverarbeitung (59%, 1998: 49%) und 42% haben (1998: 41%) eine schriftlich fixierte Strategie für Informationssicherheit. Allerdings sind nur in 30% (1998: 28%) dieser Unternehmen die betrieblich notwendigen Funktionen, die auf den Einsatz elektronischer Mittel unbedingt angewiesen sind, vollständig festgelegt, und in 56% (1998: 42%) teilweise festgelegt.

Die Einhaltung der vorgesehenen Maßnahmen wird in 31% (1998: 24%) der Unternehmen geprüft, und zwar in erster Linie durch die Revision (40%).

Die Eignung der Konzepte und Richtlinien wird nur in fast zwei Drittel der Unternehmen (64%, 1998: 45%) überprüft, meist durch erneute Schwachstellenanalysen (40%), erneute Risikoanalysen (37%) und Übungen (27%). Nur 10% der Überprüfungen fanden vor 1999 statt, 90% sind aktueller. Dabei führten fast drei Viertel der Überprüfungen zur Aufdeckung von Schwachstellen, was die Notwendigkeit solcher Überprüfungen und deren Effektivität unterstreicht. (Abbildung 11 zu Frage 3.03)

Rund 80% der Unternehmen haben ein EDV-Wiederanlaufkonzept, darunter sind 21% Unternehmen, deren Konzept schriftlich fixiert, verifiziert, validiert und freigegeben ist. (Abbildung 12 zu Frage 3.04)

Der Anteil der Unternehmen, die in Fragen der Informationssicherheit externe Beratung in Anspruch nehmen, nimmt offenbar zu: 50% der Unternehmen (1998: 44%) nutzen externe Beratung (9% regelmäßig und 41% gelegentlich), und zwar in erster Linie bei der Durchführung von Risikoanalysen und Konzeptentwicklung (54%) sowie bei Schwachstellenanalysen (38%). Von 1998 zu 2000 zeigt sich eine leichte Verschiebung hin zu Risikoanalysen und Konzeptentwicklung. (Abbildungen 13 zu Frage 3.06)

Die Zufriedenheit mit den externen Beratern ist allerdings wie schon bei den früheren Befragungen nicht überzeugend: nur 34% (1998: 36%) der Unternehmen, die externe Beratung in Anspruch genommen haben, war mit der Leistung uneingeschränkt zufrieden.

In der Einschätzung der Hindernisse für die Verbesserung der Informationssicherheit ergibt die aktuelle Umfrage ein ähnliches Bild wie schon in den vergangenen Jahren. Häufigstes Hindernis für die Verbesserung ist aus Sicht der Befragten das ungenügende Bewusstsein bei Mitarbeitern und Managern; beides mit steigender Tendenz.

Abgenommen hat dagegen in den letzten beiden Jahren die Klage über fehlendes Geld und über fehlende geeignete Produkte. Mangel an verfügbarem, kompetentem Personal (1996 noch 45%, 1998 nur noch 34%) wird heute wieder häufiger genannt (38%). (Abbildung 14 zu Frage 3.07)

Der Stellenwert von ISi-Aspekten bei der Beschaffung von IV-Systemen hat zugenommen; ISi-Aspekte sind bei 28% der Unternehmen ein Hauptkriterium (1998: 20%), bei gut der Hälfte zweitrangig (50%, 1998: 55%) und nur bei einem Fünftel eher unbedeutend (20%; 1998: 23%).

Die Zusammenfassung verschiedener Server / Abteilungsrechner in speziellen sicheren IT-Räumen ist in über der Hälfte der befragten Unternehmen (57%) bereits realisiert worden, in 9% definitiv geplant und in 17% wird darüber ernsthaft diskutiert.

Methoden und Instrumente

Unverändert fast zwei Drittel (63 %) der Unternehmen haben ihre Anwendungen / Systeme hinsichtlich ihres Schutzbedarfs bzw. der Risiken bewertet. In diesen Unternehmen wurde im Durchschnitt 41 % der Anwendungen / Systeme als in hohem Maße schutzbedürftig eingestuft.

Für die Klassifizierung waren am wichtigsten die Verzögerung von Arbeitsabläufen (37% "sehr wichtig" und 49% "wichtig"), der Imageverlust (47% "sehr wichtig" und 29% "wichtig"), der direkte finanzielle Schaden (45% "sehr wichtig" und 30% "wichtig") und Verstöße gegen Gesetze etc. (41% "sehr wichtig" und 33% "wichtig") (Abbildung 15 zu Frage 4.02)

Die am häufigsten eingesetzten Methoden und Instrumente sind die Verfahren nach dem IT-Grundschutzhandbuch des BSI (26%), selbstentwickelte Verfahren (22%) und die checklistengestützte Schwachstellenanalyse (21%). (Abbildung 16 zu Frage 4.03)

39% (1998: 35%) der Unternehmen haben die zugelassene Software (?Konfiguration) für jeden Rechner definiert, 44% (1998: 41%) nur teilweise. Sofern die Software(-Konfiguration) zumindest teilweise definiert wurde, finden in 21% dieser Unternehmen regelmäßige und in 39% sporadische Überprüfungen statt.

Im Rahmen der Prüfungen werden unter ISi-Aspekten hauptsächlich der Virenschutz (50%; 1998: 46%), die Ablauforganisation (43%; 1998: 47%) und der Software-Einsatz (38%; 1998: 42%) geprüft und (wie 1998) in je rund einem Drittel der Unternehmen die Fehlerfreiheit der Software, die Konzeption und die Aufbauorganisation. (Abbildung 17 zu Frage 4.05)

Schulung

Wie schon erwähnt, beklagt wie schon in den vergangenen Jahren etwa die Hälfte der Befragungsteilnehmer unzureichendes Bewusstsein für die Aspekte der Informationssicherheit sowohl bei Mitarbeitern als auch beim Management. Die Aufgabe, die Nutzer zu sensibilisieren für die Aspekte der Informationssicherheit, fällt meistens in die Zuständigkeit des Benutzerservice (26%; 1998: 20%), des DV-Leiters (23%; 1998: 27%), des Datenschutzbeauftragten (19%; 1998: 26%), des ISi-Ausschuß (19%; 1998: 20%), und der Administratoren (14%; 1998: 19%).

Ihre Benutzer schulen laut aktueller Umfrage 82% (1998: 80%) der Unternehmen; allerdings ist die Schulung nur in 20% (1998: 13%) der Unternehmen ein fester Bestandteil des ISi-Konzeptes, in 62% (1998: 67%) wird nur gelegentlich geschult. Das Management wird zwar in fast zwei Drittel (61%) der Unternehmen geschult, aber meist nur gelegentlich (48%), seltener als fester Bestandteil des Konzeptes (11%). Fester Konzept-Bestandteil ist die Schulung der Datenschutzbeauftragten in 30% (1998: 27%) der Unternehmen, der IV-/DV-Mitarbeiter in 31% (1998: 23%), der ISi-Beauftragten in 17% (1998: 20%) und der Revisoren in 18% (1998: 15%).

ISi-Maßnahmen

Realisierte ISi-Maßnahmen

In fast allen Unternehmen (Abbildung 18 zu Frage 7.01) ist es heute üblich, die Systemnutzung nur nach Identifikation und Authorisierung zu gestatten, am häufigsten mit einem Paßwort: bei Zentral-Rechnern 82% und bei PC / LAN 78%. Hardware Token werden zur Identifikation und Authorisierung wsentlich seltener eingesetzt (Zentral-Rechnern 16% und bei PC / LAN 13%); alle anderen Möglichkeiten der Identifikation und Authorisierung wurden von höchstens 6% der befragten Unternehmen genannt. An zweiter Stelle folgt die Protokollierung sowohl bei Zentral-Rechnern (47%) als auch bei PC / LAN (33%). An dritter Stelle folgt mit 39% bei Zentral-Rechnern und 29% bei PC / LAN das physikalische Löschen von Datenträgern.

Zugriffsschutz

Einige der Anbieter von Sicherheitsprodukten für den Zugriffsschutz erreichen beachtliche Werte bei der "gestützten" Bekanntheit: auf Platz 1 mit deutlichem Abstand steht UTIMACO Safeware / KryptoKom (67%), danach folgen RSA Security (39%) und Norman Data Defense Systems (39%). Eher Nachholbedarf bei der Marktbekanntheit haben Telesec (22%), Entrust (17%), Secude (17%), Sophos (17%), Algorithmic Research (15%), Accent Technologies (15%). (Abbildung 19 zu 7.02)

Public Key Infrastructure (PKI)

27% der befragten Unternehmen planen die Einführung einer PKI, 61% tun dies definitiv nicht, der Rest (12%) hat sich zu dieser Frage nicht geäußert. Wer sich intensiver zur Entscheidungsvorbereitung mit dem Thema PKI beschäftigt hat, für den ist die Frage der Herkunft einer PKI-Lösung nicht unbedeutend. Für zwei Drittel derer, die eine PKI-Lösung planen, ist das Herkunftsland wichtig; von denen, die keine PKI-Lösung planen, halten nur 20% das Herkunftsland für bedeutend.

Hinsichtlich der Präferenz für einen PKI-Lösungsanbieter, der Generalunternehmer oder Komponentenanbieter ist, sind die Meinungen geteilt. 49% der Firmen, die eine PKI-Lösung anstreben, bevorzugen einen Generalunternehmer und 40% einen Komponentenanbieter.

Infrastrukturorientierte Maßnahmen

Infrastrukturorientierte Maßnahmen für die Informationssicherheit sind für Zentral-Rechner erheblich häufiger realisiert als für PC / LAN. (Abbildung 20 zu Frage 7.04) Die am häufigsten realisierten Maßnahmen sind: unterbrechungsfreie Stromversorgung (Zentral-Rechner: 79%, PC / LAN: 38%), Datensicherungsschränke/-räume (78%, PC / LAN: 33%), Zugriffskontrolle (Zentral-Rechner: 75%, PC / LAN: 46%) und Klimatisierung (74%, PC / LAN: 31%).

Virenschutz

Maßnahmen zum Schutz vor Viren sind heute selbstverständlich; 92% der Unternehmen benutzen Viren-Scanner, in 38% der Unternehmen werden Online-Virenwächter eingesetzt und 22% haben eine zentrale Mail-Kontrolle. Die Wirksamkeit der ergriffenen Maßnahmen zum Schutz vor Viren halten rund die Hälfte dieser Unternehmen für sichergestellt: 65% sind sicher, dass die Maßnahmen Schutz gegen Makroviren in Textdateien gewährleisten, 58% gegen online übertragene Viren. (Abbildung 21 zu Frage 7.05)

Ausfallvorsorge und Recovery-Maßnahmen

Für längere Ausfälle haben die Unternehmen am häufigsten dadurch vorgesorgt, dass sie Versicherungen (für Zentral-Rechner 41% [1998: 31%], für PC / LAN 29% [1998: 24%]) und / oder Verträge über schnelle Lieferung von Ersatz-Hardware (für Zentral-Rechner 31% [1998: 25%], für PC / LAN 23% [1998: 20%]) abgeschlossen haben.

Für die Zentral-Rechner folgt an dritter Stelle (19%; 1998: 20%) die Bereitstellung von Räumen mit wichtiger Hardware (warme Lösung). Alle anderen Varianten der Absicherung durch Schaffung von Redundanzen oder durch Verträge über die Inanspruchnahme externer Ressourcen und Räume wurden jeweils von deutlich weniger als 20% der befragten Unternehmen genannt. (Abbildung 22 zu Frage 7.07)

Bei einem Recovery-Partner legen die Unternehmen besonderen Wert–wie schon in 1996 und 1998–auf eine kurze Reaktionszeit und auf die Beratungs- und Betriebskompetenz des Recovery-Partners. Die geringste Bedeutung haben–ebenfalls wie früher–Preisnachlässe. Die meisten Unternehmen glauben, dass die monatlichen Vorhaltegebühren an einen Recovery-Partner maximal 5% der Investitionen für ein Ausweichrechenzentrum ausmachen. Das Maximum, was man für die Notfallvorsorge auszugeben bereit ist, liegt im Durchschnitt bei 8%, je ein Viertel mag weniger als 2% bzw. mehr als 10% für diesen Zweck ausgeben.

79% der Unternehmen (1998: 73%) halten es für notwendig, vor einer Entscheidung über Recovery-Maßnahmen ein strategisches Konzept zu erstellen. Diese Unternehmen bevorzugen je zur Hälfte die Durchführung mit eigenen Kräften (52%) bzw. die Durchführung mit externer Beratung (49%). In 54% der Unternehmen ist die Geschäftsführung in die konzeptionelle Arbeit eingebunden.

Notfalldokumentation

Eine Notfall-Dokumentation existiert in gut der Hälfte (48%) der Unternehmen, meist (45%) in Form eines manuellen Handbuchs, bei 13% als Online gestütztes Handbuch und bei 3% als Online-Anwendung; damit ist die Situation in dieser Hinsicht nicht anders als schon 1998. Die Notfall-Dokumentation wird bei 37% (1998: 36%) der Unternehmen sporadisch, bei 27% (1998: 22%) permanent aktualisiert.

Sofern eine Notfalldokumentation bereits vorhanden ist, enthält sie in 77% der Fälle Aktionspläne für den K-Fall, in 55% der Fälle auch Aktionspläne für Störungen im Tagesbetrieb, in 73% der Fälle eine IT-Dokumentation und in 62% eine allgemeine Dokumentation. Bei den Unternehmen, die noch daran arbeiten oder eine Notfalldokumentation planen, liegen die Anteile etwas niedriger, ergeben aber die gleiche Rangreihe.

Security-Administration

Für ein unternehmensweites Security-Management halten die meisten der befragten Unternehmen die zentrale Überwachung der eingesetzten Security-Systeme für wichtig (89%; 62% "sehr wichtig" und 27% "wichtig"). Danach folgt die plattformübergreifende Benutzerverwaltung (86%; 50% "sehr wichtig" und 36% "wichtig").

Überspannungsschutz

Ein Fünftel der Unternehmen hat sich nicht gegen Überspannungen geschützt (22%; 1998: 26%). Hauptargument zur Erklärung dieses Sachverhalts ist, dass das Risiko nicht gravierend erscheint, gefolgt von der Einschätzung, es sei zu teuer. Für die Erstellung des Konzeptes sind meistens eigene Mitarbeiter (41%) bzw. Fachplaner (22%) zuständig. Für die Pflege des Konzeptes werden in 48% der Unternehmen eigene Mitarbeiter eingesetzt; auch die Installation ist überwiegend Aufgabe eigener Mitarbeiter (32%) und von Installateuren (37%). (Abbildung 23 zu Frage 7.10)

Versicherungsschutz

Immer mehr Unternehmen versuchen sich auch durch Versicherungen zu schützen. Am häufigsten werden Elektronikversicherungen abgeschlossen ( 63%), meist in Form der Sachversicherung ( 55%), seltener als Elektronik-Betriebsunterbrechungsversicherung (23%). An zweiter Stelle folgt die Feuerversicherung (57%), alle anderen Versicherungsarten folgen mit deutlichem Abstand mit Häufigkeiten meist deutlich unter 20%. (Abbildung 24 zu Frage 8.01, auf der nächsten Seite)

ISi bei Outsourcing

Fast die Hälfte (46%) der befragten Unternehmen betreibt Outsourcing. Ausgelagert wird vor allem die Entsorgung von Datenträgern (59% der Firmen, die Outsourcing beteiben). Mit deutlichem Abstand folgen Netzwerk-Management (33%), Datenbank-Systeme (26%), Online-Anwendungssysteme (22%) und Betriebssystempflege (21%). Die Anforderungen an die Informationssicherheit bei Outsourcing haben 62% (1998: 55%) der Outsourcing betreibenden Unternehmen vertraglich festgeschrieben. 47% der Outsourcing betreibenden Unternehmen kontrollieren den Dienstleister.

BSI

Die Dienstleistungen des BSI erfreuen sich zunehmender Bekanntheit. Während 1996 noch fast ein Drittel die entsprechende Frage nicht beantworten konnte, waren dies in 1998 nur noch ein Fünftel und aktuell nur noch 17% der befragten Unternehmen. (Abbildung 25 zu Frage 10.1, siehe nächste Seite). Mit den europäischen "Kriterien für die Bewertung der Sicherheit von Systemen der Informationstechnik (ITSEC)" haben sich (wie schon 1998) 33% der Unternehmen bereits befaßt; mit "Common Criteria" haben sich 19% schon befasst.

Zertifizierte Produkte (Abbildung 26 zu Frage 10.03, siehe nächste Seite) werden gegenwärtig bereits in 31% (1998: 30%) der befragten Unternehmen eingesetzt. Für drei Viertel (1998 erst zwei Drittel) dieser Unternehmen haben sich die in diese zertifizierten Produkte hinsichtlich Nutzen und Zuverlässigkeit gesetzten Erwartungen erfüllt.

Allerdings sind die Meinungen darüber geteilt, ob die Zertifizierung einen höheren Preis des Produktes rechtfertigen könne. 31% der Befragten den höheren Preis für gerechtfertigt, 35% lehnen ihn ab, die restlichen 34% mochten sich dazu nicht äussern.

Statistische Angaben

An der diesjährigen Studie beteiligten sich Unternehmen mit folgenden Eckdaten:

11.05 Funktion
Leiter IT/EDV/DV/Orga 28%
Sicherheitsbeauftragter 17%
Abteilungs-/Bereichsleiter 7%
Unternehmensleitung 6%
Systemadministrator 6%
Datenschutzbeauftragter 6%
Berater 3%
Sonstiges 20%

Gerhard Hunnius ist geschäftsführender Gesellschafter der UTILITAS Forschung für Marketing und Management GmbH, Darmstadt. UTILITAS Forschung befasst sich vornehmlich mit der Forschung und Beratung für Produktentwicklung, Marketing, Management und Kommunikation.

© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 3/2000, Seite 22