168 der 176 befragten Unternehmen haben Angaben zu ihrer IV-Ausstattung gemacht. Für die restlichen acht Unternehmen wurde entweder jeweils die branchendurchschnittliche Austattung unterstellt - oder entsprechend der Unternehmensgröße angenommen.
Das Equipment der Teilnehmer
103 der 176 Befragungsteilnehmer (das sind 59%) haben ihre Budgets offengelegt. Hochrechnungen auf alle 176 befragten Unternehmen sind dabei aber kaum möglich. Das IV-Budget der 103 auskunftsbereiten Unternehmen beträgt in der Summe etwa 2,9 Milliarden Mark.
Der Anteil der Sicherheitsmaßnahmen am IV-Budget liegt bei 7%, (1998: 7%, 1996: 6%). Absolut verbirgt sich bei den 103 antwortenden Unternehmen hinter diesem Anteil ein Betrag von insgesamt etwa 71 Millionen Mark. Die Größenordnungen haben aber eine erhebliche Bandbreite: es liegt bei je der Hälfte der 103 Unternehmen über bzw. unter 45.000 Mark, wobei allerdings auf die drei Unternehmen mit den größten ISi-Budgets bereits fast die Hälfte der 71 Millionen DM entfallen.
Am häufigsten wird die Verschlüsselung geplant als Massnahme zur Verbesserung der Sicherheit des E-Mail-Verkehrs und der Internetnutzung. 20% der Unternehmen planen die Verschlüsselung auch für Notebooks. Für die Authentisierung sind am häufigsten der Einatz von Chipkarten und kryptografischen Verfahren geplant. Chipkarten wollen 20% der befragten Unternehmen im PC/LAN-Bereich einsetzen, 15% im Mainframe-Bereich. Kryptografische Verfahren wollen etwa 15% der Unternehmen einsetzen (PC/LAN: 15%; Mainframe: 14%).
Herausragende Bedeutung im Rahmen der infrastrukturorientierten ISi-Maßnahmen haben die Public Key Infrastructure, Encryption und starke Authentisierung.
Etwa ein Viertel der Befragten plant einen PKI-Einsatz. Bei der Auswahl dominieren besonders die Kriterien Automatisierung der Prozesse bei der Erstellung und Verwaltung von Zertifikaten" (28% sehr wichtig"), Kosten (21% sehr wichtig") und Anspruch an die Sicherheit, d. h. ITSEC-Zertifizierung (20% sehr wichtig").
Vorsorgemaßnahmen für längere Ausfälle der Informationsverarbeitung werden häufiger für den Mainframe-Bereich geplant als für den Bereich PC / LAN. Wie schon in den früheren Befragungen festgestellt, spielen in den Planungen der Unternehmen die Bereitstellung von Räumen mit Hardware oder Verträge über die schnelle Lieferung von Hardware die größte Rolle, gefolgt von Verträgen mit externen Dienstleistern über die Nutzung von Ressourcen.
In 21% der Unternehmen gibt es Planungen für eine Notfalldokumentation. Bei den Planungen wird am häufigsten ein Online gestütztes Handbuch (15%) genannt, gefolgt von einem manuellem Handbuch (10%) und einer Online-Anwendung (8%).
Einen Überspannungsschutz planen 4% aller befragten Unternehmen, das sind rund ein Fünftel derer, die noch keinen Überspannungsschutz haben.
Für die Beschaffung von IT und IT-Sicherheit sind in erster Linie die IV-/DV-Leiter bzw. RZ-Leiter zuständig; die Einkaufsabteilung scheint bei Fragen der Beschaffung von zentralen und dezentralen DV-Systemen ebenso wie bei technischer Infrastruktur nur eine nachrangige Rolle zu spielen bzw. nur mitbeteiligt zu sein. Naturgemäß ist die Beschaffung in kleineren Unternehmen eher Sache der Unternehmensführung, in den größeren Unternehmen liegt die Zuständigkeit meist bei den dafür fachlich speziell ausgeprägten Funktionen. In den meisten Unternehmen liegt die Verantwortung jedoch nicht bei einer einzigen Stelle, in der Regel sind mehrere Stellen mitverantwortlich.
Fast alle (97%) der Unternehmen verfügen über Internet-Zugänge; sie nutzen das Internet am häufigsten für die Nachfrage von Informationen (79%) und um Informationen anzubieten (72%). Leistungen werden per Internet von 48% nachgefragt und von 30% angeboten; 26% bieten Dienstleistungen über das Internet an.
In etwa 40% der Unternehmen haben sich bereits Vorfälle ereignet, die eigentlich verhindert werden sollten wie z.B. Hackversuche oder unbefugtes Lesen von Daten. 63% der Unternehmen haben eine Internetpolitik entwickelt, bei 61% ist diese sicherheitsspezifisch.
In 77% der Unternehmen gibt es Regelungen für den Internetzugang und die Rechte; in je etwa der Hälfte der Unternehmen gibt es Regelungen für alle Nutzer bzw. nur für ausgewählte Nutzer.
Zugangs- und Zugriffsrechteregelungen sind generell ein häufig eingesetztes Mittel zur Verbesserung der Informationssicherheit bei der Nutzung öffentlicher Netze und der Telekommunikation; 64% der Unternehmen setzen solche Regelungen umfassend ein, weitere 22% teilweise. Ebenso bedeutend ist der Einsatz von Virenschutzmechanismen (66% umfassend, 23% teilweise). Es folgen als ISi-Massnahmen Firewalls (60% umfassend, 20% teilweise), Proxy-Server (49% umfassend, 25% teilweise), Protokollierung (33% umfassend, 24% teilweise) Rückruf bei Modemzugriff (25% umfassend, 20% teilweise) und Transaktionsbeschränkungen (22% umfassend, 39% teilweise).
Digitale Signaturen kommen in 14% der 176 befragten Unternehmen zum Einsatz, fast immer zur Sicherung der internen Kommunikation (11%) und bei der Business-to Business-Kommunikation (11%) und häufig auch bei der Business-to-Consumer-Kommunikation (5%).
Über zwei Drittel der Unternehmen (69%; 1998: 49%) haben ein Intranet eingerichtet, das in fast drei Viertel dieser Unternehmen von allen Mitarbeitern genutzt wird. In kleineren Organisationen wird ein Intranet in der Regel von allen Mitarbeitern genutzt; dass nur spezielle Mitarbeiter oder spezielle Abteilungen / Bereiche das Intranet nutzen, kommt meist nur bei größeren Unternehmen vor.
176 Anzahl der Unternehmen
670.000 Mitarbeiter
14.625 IV-Mitarbeiter
564 Mitarbeiter, die sich speziell mit ISi befassen
5 Mrd. DM Budget für Informationsverarbeitung
7 % durchschnittlicher ISi-Anteil am IV-Budget
Gerhard Hunnius ist geschäftsführender Gesellschafter der
Utilitas Forschung für Marketing und Management GmbH,
Darmstadt. Utilitas Forschung befasst sich vornehmlich mit der
Forschung und Beratung für Produktentwicklung, Marketing,
Management und Kommunikation.
© SecuMedia-Verlags-GmbH, D-55205 Ingelheim, KES 4/2000, Seite 22
