Management und Wissen

KES/KPMG-Sicherheitsstudie 2002

Lagebericht zur IT-Sicherheit (1)

Von Reinhard Voßbein und Jörn Voßbein, Wuppertal

Verlässliche Zahlen zu Risiken und Angriffen sowie Konzepten und Maßnahmen der IT-Sicherheit in der aktuellen Praxis sind selten, ganz zu schweigen von Erkenntnissen über konkrete Vorhaben für die sicherheitsrelevante Zukunft der IT-Landschaft. Als umso nützlicher dürften sich die Ergebnisse unserer 9. Sicherheitsstudie aufgrund der umfassenden Antworten von 260 hochkarätigen Teilnehmern erweisen.

Mit 260 Teilnehmern hat eine erfreuliche große Anzahl von Unternehmen und Behörden an der KES/KPMG-Sicherheitsstudie teilgenommen, sodass hierdurch noch aussagekräftigere Werte ermittelt werden konnten als 2000. Die Autoren sehen darin aber auch eine Bestätigung für das wachsende Interesse an der Studie und ihrer Thematik.

Die Fragen der Studie hatten sich gegenüber den vergangenen Jahren erneut in Einzelgebieten gewandelt, neue Themen sind dem Stand der Technik folgend hinzugekommen, andere weggefallen. Die Komplexität der heutigen IT-Sicherheitslandschaft hat in der Summe zu einer leichten Erweiterung geführt, was jedoch auch die Aussagefähigkeit der Studie verbessert hat.

----------Anfang Textkasten----------

Vielen Dank für freundliche Unterstützung

Die folgenden Unternehmen fördern die Durchführung unserer aktuellen Sicherheitsstudie:
[Sponsoren: KPMG - DIM - HP - IBM - Lampertz - ROG - SAP - SOPHOS - TSCHANNEN - UIMC]

KPMG HP DIM Lampertz IBM ROG SAP SOPHOS TSCHANNEN UIMC

Für zusätzliche Anregungen und Hinweise bedanken wir uns beim Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie bei Prof. Dr. Alfred Büllesbach – DaimlerChrysler AG, Dr. Gerhard Weck – INFODAS Gesellschaft für Systementwicklung und Informationsverarbeitung mbH, Hans-Joachim Gaebert Unternehmensberatung, Dr. Louis Marinos – MNEMON sowie bei der UIMC Dr. Voßbein GmbH & Co KG, der auch die wissenschaftliche Beratung und Auswertung dieser Studie obliegt.

Nicht zuletzt gilt unser Dank den Verbänden und Anwendervereinigungen, die den Fragebogen der Studie ihren Mitgliedern zugänglich machen, und natürlich den Teilnehmern selbst.

----------Ende Textkasten----------

Risikosituation

Nach wie vor dominieren die von Menschen direkt verursachten Gefahren die aktuelle Risikolage, wobei die unbeabsichtigten Wirkungen deutlich überwiegen. Als bedeutendstes Einzelrisiko haben die Teilnehmer der KES/KPMG-Studie erneut Irrtum und Nachlässigkeit eigener Mitarbeiter genannt, gefolgt von Malware und Softwaremängeln, und zwar sowohl in der Risikoeinschätzung als auch bei den tatsächlichen Schäden. Die einzelnen Angaben weichen zwar durch eine veränderte Prozentuierung zahlenmäßig von denen der Vorjahre deutlich ab, die eigentlichen Aussagen stimmen aber mit den früheren Ergebnissen überein.

Welche dieser Gefahrenbereiche haben in Ihrem Haus in den vergangenen beiden Jahren tatsächlich zu mittleren bis größeren Beeinträchtigungen geführt? (Mehrfachnennungen möglich)
Basis der Prozentuierung: 260
  Summe Prozent
von Menschen direkt verursachte Gefahren 135 52 %
Irrtum und Nachlässigkeit eigener Mitarbeiter 79 30 %
unbeabsichtigte Fehler von Externen (z. B. Wartungstechniker) 23 9 %
Manipulation zum Zweck der Bereicherung 6 2 %
unbefugte Kenntnisnahme, Informationsdiebstahl, Wirtschaftsspionage 16 6 %
Sabotage 4 2 %
Hacking (Vandalismus, Probing, Missbrauch, ...) 21 8 %
Malware (Viren, Würmer, Trojanische Pferde usw.) 64 25 %
technische Defekte/Qualitätsmängel 85 33 %
Hardware-bedingt 38 15 %
Software-bedingt 50 19 %
Mängel der Dokumentation 8 3 %
höhere Gewalt (Feuer, Wasser usw.) 8 3 %
Sonstige 17 7 %

Auch bei den erwarteten Veränderungen gab es keine Überraschungen: Malware und zielgerichteten aktiven Angriffen (Hacking, Spionage, usw.) wird wiederum eine deutliche Zunahme prognostiziert. Etwas milder als in der letzten Studie schätzt man das Ansteigen von Irrtum und Nachlässigkeit sowie Softwareproblemen. Hardwaremängel und höhere Gewalt sollen weiter zurückgehen. Die Gegenüberstellung in der Rangordnung der Gefahrenbereiche zwischen dem "Jetzt" und der "Zukunft" avisiert einen Aufstieg von Malware zum Top-Risiko. Die unbeabsichtigten Fehler von Externen steigen von Platz zehn auf Platz vier, hardwarebedingte Gefahren fallen von Platz sechs auf Platz zehn; Sabotage steigt dadurch in ihrer erwarteten zukünftigen Bedeutung deutlich an.

[Risikoveränderungsfaktor: 
+0,74 Malware, 
+0,56 Hacking, 
+0,40 unbefugte Kenntnisnahme, 
+0,24 Software-Risiken, 
+0,15 Irrtum und Nachlässigkeit eigener Mitarbeiter, 
... 
-0,08 Hardware-Risiken, 
-0,22 Höhere Gewalt]
Veränderungsfaktor der Risiken

Nennen Sie bitte die drei Gefahrenbereiche, die aus Ihrer Sicht für Ihr Haus die höchste Bedeutung haben (Mehrfachnennungen möglich)
  Rangfolge
  Jetzt Zukunft
Irrtum und Nachlässigkeit eigener Mitarbeiter 1 2
Malware (Viren, Würmer, Trojanische Pferde usw.) 2 1
Software-bedingte technische Defekte/Qualitätsmängel 3 3
Unbefugte Kenntnisnahme Informationsdiebstahl, Wirtschaftsspionage 4 5
Hacking (Vandalismus, Probing, Missbrauch, ...) 5 6
Hardware-bedingte technische Defekte/Qualitätsmängel 6 10
Höhere Gewalt (Feuer, Wasser usw.) 7 11
Manipulation zum Zweck der Bereicherung 8 9
Mängel der Dokumentation 9 8
Unbeabsichtigte Fehler von Externen (z. B. Wartungstechniker) 10 4
Sabotage 11 7
Sonstiges 12 12

Die Auswertung der aktuellen Risiken belegt nach wie vor eine Wahrnehmungsverzerrung in der öffentlichen Diskussion, wo verschiedene Gefahren in ihren Auswirkungen deutlich überschätzt werden, was besonders auf das Hacking zutrifft. Ob die allgemeine Angst vor Viren, Hackern und Spionen, die sich mit der erwarteten Risikoveränderung deckt, auch in den Köpfen der Sicherheitsexperten "zugeschlagen" hat oder die kommenden Jahre tatsächlich eine Umschichtung der Risiken bringen wird, bleibt abzuwarten. Die Malware hat sich zwar mittlerweile tatsächlich von den Softwarerisiken abgesetzt, mit denen sie vor zwei Jahren noch gleichauf lag. Entsprechende Prognosen der vergangenen Studie scheinen sich jedoch im Hinblick auf gezielte Angriffe (Hacker, Spione) nicht bewahrheitet zu haben – oder zumindest erfolgreich abgewehrt beziehungsweise erst gar nicht registriert worden zu sein.

Internet

Ähnliches zeigt sich auch bei den Antworten zu Angriffen über den Internetzugang und auf WWW-Server: 37 Prozent der Befragten haben keinen Angriffsversuch gegen Verfügbarkeit, Vertraulichkeit oder Integrität ihres Internetzugangs vermerkt, bei der spezielleren Webserver-Frage verbuchten 57 Prozent keine solchen Attacken. Spitzenreiter bei den Nennungen zum Internetanschluss waren Hack-Versuche (43 %) und Denial of Service (DoS, 29 %). Bei den Webservern rangierten DoS-Angriffe (28 %) vor Spionage und "Defacement", dem vandalistischen Verändern von Inhalten (16 %). Nur selten war der Versuch wahrgenommen worden, Daten auf WWW-Servern in betrügerischer Absicht zu manipulieren, wobei sich hier die Frage stellt, ob die meisten Inhalte eine entsprechende Absicht überhaupt lohnend erscheinen lassen.

[versuchte Angriffe: 
43% Hacking, 
29 % DoS, 
19 % unbefugtes Lesen, 
 9 % Abhören, 
 7 % Manipulation, 
37 % nichts von alledem ]
Internetorientierte Gefährdungen

Zudem bleibt ungewiss, wie viele Angriffsversuche unbeobachtet stattfanden: Nur rund ein Drittel der Teilnehmer setzt Intrusion Detection Systeme ein (Näheres im zweiten Teil der Auswertung).

Ist bereits der Versuch unternommen worden, auf Ihrem WWW-Server ...? (Mehrfachnennungen möglich)
Basis der Prozentuierung: 238
  Nennungen Prozent
Angebote lahmzulegen (Denial of Service) 66 28 %
Daten auszuspionieren 40 17 %
Seiten zu verändern (Vandalismus) 37 16 %
Daten in betrügerischer Absicht zu manipulieren 13 5 %
Daten zu löschen 12 5 %
nichts von alledem 135 57 %

Ein großer Teil der befragten Unternehmen nutzt WWW und vor allem E-Mail für alle Mitarbeiter. Trotz der Gefahren, die aus dem Internet auf interne Netze zukommen können, gestatten übrigens nur 10 Prozent der Unternehmen den Mitarbeitern keinerlei private Nutzung. Somit nimmt die überwältigende Mehrheit der Unternehmen gleichezeitig datenschutzrechtliche Probleme bei der Kontrolle solcher privaten Aktivitäten in Kauf.

Viren, Würmer & Co.

Malware ist weiterhin eine ernste Bedrohung: 74 Prozent der befragten Unternehmen haben im vergangenen Jahr Malwarevorfälle vermeldet, über 70 Prozent einen Zuwachs von Schadsoftware unterschiedlicher Art wahrgenommen. Zum Glück scheinen die meisten Vorfälle aber glimpflich zu verlaufen: Nur 25 Prozent hatten mittlere bis größere Beeinträchtigungen angegeben.

Hatten Sie 2001 Vorfälle mit Malware?
Ja 185 74 %
Nein 66 26 %

Bei nahezu 50 Prozent der Teilnehmer gab es bereits einmal einen Virenfehlalarm: Eine teure Angelegenheit, die im Einzelfall bis zu 50 000 Euro geschätzte Kosten verursachen kann (Durchschnitt: 8 173 €). Die Schätzungen für Ausfallzeit und Kosten bei nicht-technischen Fehlalarmen durch unbegründete Warnungen vor vermeintlichen Viren (Hoaxes) liegen sogar noch etwas darüber.

Wie hoch schätzen Sie die durch einen einzelnen Vorfall verursachte(n) ...?
  Ausfallzeit (in Std.) Kosten (in €)
  höchste Nennung Durchschnitt Anzahl Nennungen höchste Nennung Durchschnitt Anzahl Nennungen
Virus 1680 94 102 200 000 € 26 228 € 70
Fehlalarm (unbegründete Fehlermeldung) 100 10 58 50 000 € 8 173 € 34
unbegründete Warnung (Hoax) 100 13 67 60 000 € 9 621 € 41

Der höchste genannte Schadenswert für einen einzelnen Virenvorfall betrug 200 000 Euro. Die durchschnittlichen geschätzten Kosten durch einen Virus lagen mit rund 26 000 Euro in etwa bei dem dreifachen Wert der Fehlalarme. Diese Schätzungen wirken erfreulich realistisch im Vergleich zu aus dem amerikanischen Raum gemeldeten Virenschäden, die durchweg erst bei Millionen-Dollar-Werten anfangen.

Bezüglich des Einfallweges für Malware dominiert die E-Mail, lediglich bei Bootviren naturgemäß die Diskette. Die Summe der Schädlinge, die ihren Weg über Netzwerke (Internet und LAN) nehmen, ist ebenfalls hoch. Keine Entwarnung gibt es allerdings auch für Datenträger als Infektionsrisiko: Bei Fileviren, Makroviren und Würmern stehen Disketten (vermutlich auch CD-ROMs) an zweiter Stelle, lediglich bei trojanischen Pferden nimmt der Download aus dem Internet Rang zwei ein. Ein überwiegender Rückgang der Vorfälle war übrigens auch bei den Klassen der File- und Boot-Viren nicht zu verzeichnen.

In der Folge sollten Sicherheitsmaßnahmen in Bezug auf Malware unbedingt auf der E-Mail-Ebene beginnen, sie dürfen aber angesichts der Datenträgerrisiken die Arbeitsplatzcomputer nicht außer Acht lassen. Die Situation bei den Teilnehmern der Studie zeigt nahezu vollständige Erfassung von Servern und Client-Rechnern durch Virenschutzmaßnahmen, allerdings Mankos bei mobilen Endgeräten (nur 88 % mit Virenabwehr) und seltenen Einsatz von Virenwächtern im Hintergrund, die nur weniger als ein Fünftel der befragten Unternehmen nutzen (Details zu den Maßnahmen im zweiten Teil der Auswertung).

Hatten Sie 2001 Vorfälle mit Malware? (Details)
  File-Viren Boot-Viren Makro-Viren Würmer Trojanische Pferde / Backdoors
  Nennungen Prozent Nennungen Prozent Nennungen Prozent Nennungen Prozent Nennungen Prozent
ja, und zwar (Mehrfachnennungen möglich)                    
über Diskette 57 31 % 62 34 % 47 25 % 23 12 % 17 9 %
über internes Netz 28 15 % 11 6 % 35 19 % 35 19 % 21 11 %
über E-Mail 101 55 % 44 24 % 132 71 % 144 78 % 92 50 %
über Internet-Download 38 21 % 10 5 % 45 24 % 30 16 % 34 18 %
über Internet (autom. Verbreitung) 12 6 % 3 2 % 19 10 % 48 26 % 29 16 %
über WWW-Seite (aktive Inhalte) 6 3 % 0 0 % 7 4 % 16 9 % 15 8 %
unbekannte Herkunft 28 15 % 11 6 % 14 8 % 20 11 % 21 11 %
weniger Fälle als 2000 41 36 % 31 42 % 35 27 % 27 21 % 16 18 %
mehr Vorfälle als 2000 74 64 % 42 58 % 93 73 % 102 79 % 75 82 %
nein 38 15 % 49 20 % 35 14 % 35 14 % 45 18 %

Die Sicherheit gegen neue Malware-Bedrohungen ist erwartungsgemäß beschränkt: Jeweils um die 30 Prozent der Befragten mussten trotz Viren-"Schutz" in den letzten zwei Jahren nennenswerte Beeinträchtigungen durch Loveletter und Nimda erfahren. Der ältere, aber immer noch verbreitete CIH-Virus verursachte hingegen kaum Probleme.

[nennenswerte Beeinträchtigungen durch 
33% Loveletter, 
28% Nimda, 
16% Code Red, 
 9% SirCam, 
 2% CIH]
Beeinträchtigung durch verbreitete Malware

Sicherheitslage

Immer wieder bestätigt die KES-Sicherheitsstudie eine positive Einschätzung der Informationssicherheit (ISi) im Rechenzentrumsbereich: Nahezu drei Viertel der Befragten sehen sie als gut bis sehr gut an. Je "weiter" sich die Systeme von der zentralisierten zur verteilten Informationstechnik bewegen, desto schlechter wird die Einschätzung der Sicherheitslage: Bei Servern und Netzwerken antworten die meisten mit "gut", bei Clients/PCs mit "befriedigend". Deutliche Schwächen sehen die Teilnehmer im Bereich der mobilen Endgeräte und Teleworking-PCs: Mehr als die Hälfte der Befragten bewerteten den Stand nur mit "ausreichend" oder "nicht ausreichend" – 30 Prozent gaben selbstkritisch die schlechteste Bewertung.

[ISi ist 
sehr gut + gut / befriedigend + ausreichend / nicht ausr.: 
Rechenzentrum 73% / 23% / 4%, 
Server 53% / 45% / 2%, 
IT-Netzwerk 58% / 38% / 4%, 
TK-Netzwerk 51% / 44% / 5%, 
Clients/PCs 26% / 62% / 12%, 
mobile Endgeräte 11% / 59% / 30% ]
Bewertung der Informationssicherheit

Wie schätzen Sie die ISi in Ihrem Haus ein, bezogen auf...? Durchschnittsnote
Noten von "sehr gut" (1) bis "nicht ausreichend" (5)
Rechenzentrum/Mainframe 2,1
Server 2,5
IT-Netzwerk 2,5
TK-Netzwerk 2,6
Clients/PCs 3,1
mobile Endgeräte (Notebooks, PDAs, ...) / Teleworking-PCs 3,7
Stellenwert der ISi

Ein seit Jahren eher trauriges Kapitel ist die Beurteilung des Stellenwertes der IT-Sicherheit für das Top- und Mittlere Management. So wird mit beachtlicher Kontinuität angegeben, dass nur ein geringer Teil des Managements IT-Sicherheit als vorrangiges Ziel der Informationsverarbeitung ansieht und lediglich 50 Prozent der Top-Manager betrachten die IT-Sicherheit als gleichrangiges Ziel im Rahmen der Informationsverarbeitung. Ein Vergleich mit den Werten früherer Studien zeigt, dass sich selbst über einen langen Zeitraum nur wenig im Bewusstsein des Top-Managements verändert hat.

Welchen Stellenwert hat die ISi für Ihr Top-Management?
  1994 2000 2002
ISi ist ein vorrangiges Ziel der Informationsverarbeitung 16 % 23 % 20 %
ISi ist ein gleichrangiges Ziel der Informationsverarbeitung 49 % 46 % 50 %
ISi ist eher ein "lästiges Übel" 35 % 30 % 29 %
Kenntnisstand und Schulung zur ISi

Ähnlich schlecht ist die Beurteilung des Kenntnisstandes zur IT-Sicherheit. In über 60 Prozent der Unternehmen wird der Kenntnisstand des Top-Managements als mittel bis eher schlecht beurteilt, bei Anwendern in weniger sensitiven Bereichen liegt diese schlechte Beurteilung sogar bei über 80 Prozent.

Wie beurteilen Sie den Kenntnisstand zur ISi in Ihrem Unternehmen?
  sehr gut (1) gut (2) mittel (3) eher schlecht (4) nicht beantwortbar
IT-Sicherheitsfachleute 32 % 49 % 13 % 1 % 5 %
Anwender in hochsensitiven Bereichen 16 % 37 % 25 % 16 % 6 %
Top Management 10 % 23 % 32 % 30 % 4 %
Mittelmanagement 3 % 15 % 46 % 33 % 4 %
Anwender in weniger sensitiven Bereichen 2 % 9 % 35 % 48 % 6 %

Im Zusammenhang mit der Beurteilung der Schulung und Ausbildung ist dieses Ergebnis jedoch stärker erklärlich: So wird das Management nur in zwölf Prozent aller Fälle über Fragen der IT-Sicherheit regelmäßig informiert oder geschult, wohingegen anlassbezogene Schulungen einen Wert von 57 Prozent aufweisen. Das Schwergewicht der Schulungen liegt eindeutig bei Mitarbeitern mit besonderen Aufgabengebieten. Moderne Fortbildungs- und Schulungs-Methoden (online oder Multimedia) werden dabei nur zu einem sehr geringen Teil benutzt. Hier existiert ein deutliches Rationalisierungspotenzial mit Verbesserungsmöglichkeiten zur Erzielung eines besseren Wissensstandes in den Unternehmen.

[Schulung erfolgt 
gar nicht / gelegentlich /regelmäßig: 
Benutzer 14% / 73% / 13%, 
IV-/DV-Mitarbeiter 12% / 55% / 34%, 
Datenschutzbeauftragte 23% / 35% / 42%, 
ISi-Beauftragte 23% / 27% / 50%, 
Revisoren, Prüfer 38% / 41% / 20%, 
Management 30% / 57% / 12%, 
andere 58% / 40% / 2% ]
Schulungsaktivitäten

Informationsquellen

Als weiterer Input dienen Messen: 78 Prozent der Befragten nutzen die CeBIT zur Information über IT-Sicherheit, 50 Prozent besuchen dazu die IT-SecurityArea auf der SYSTEMS, 31 Prozent den BSI-Kongress, 12 Prozent die InfoSecurity und 10 Prozent die Security in Essen.

In der offenen Frage zu Zeitschriften wurde naheliegenderweise die KES mit Abstand am häufigsten als Informationsquelle zur IT-Sicherheit genannt. Überdies gaben 22 Prozent der Antwortenden die c't an, 16 Prozent die DuD (Datenschutz und Datensicherheit), 7 Prozent die "IT-Sicherheit". 6 Prozent die "IT-Security", 3 Prozent die Informationweek und 1 Prozent die PC-Professional.

Bei der Suche nach aktuellen Patches gegen Sicherheitslücken stehen Informationsseiten sowie aktive Informationen der Hersteller mit weitem Abstand an der Spitze, gefolgt von Mailinglisten und Informationsseiten anderer Quellen.

Organisation

Die organisatorischen Lösungen zur Gestaltung der IT-Sicherheit werden dominiert durch die Funktion des zentralen Sicherheitsbeauftragten. Er ist immerhin in 36 Prozent aller Unternehmen für die Durchführung von Risikoanalysen, in 38 Prozent für die Erstellung von Konzeptionen und in 35 Prozent für Notfall- und Eskalationsmaßnahmen verantwortlich. Im Hinblick auf diese Aufgaben hat nur der Leiter DV eine ähnlich starke Funktion, wobei diese bei Notfall-und Eskalationsmaßnahmen mit 56 Prozent noch deutlich häufiger genannt ist.

Dienstleister

73 Prozent der Befragten betreiben Outsourcing in irgendeiner Form, wobei die Entsorgung von Datenträgern mit Abstand an der Spitze steht. Auf Platz zwei landen Managed Firewalls/IDS. Erstaunlich ist, dass im Hinblick auf die Bedeutung von Business Recovery und Business Continuity diese Bereiche zusammen mit der Auslagerung von Sicherungsfunktionen unter 30 Prozent liegen.

Welche Funktionen haben Sie ausgelagert?
Basis der Prozentuierung (Outsourcinggeber): 144
Entsorgung von Datenträgern (Papier, EDV) 72 %
Managed Firewall/IDS 48 %
Online-Anwendungssysteme 40 %
Netzwerk-Management 37 %
Datenbank-Systeme, Werkzeuge 33 %
Betriebssystempflege 32 %
Sicherung, Back-up-Lösungen 29 %
Auftragsentwurf, Arbeitsvortbereitung, Operating 26 %
Haustechnik 24 %
Überwachung, Kontrolle, Qualitätssicherung 16 %
Verwaltung, Dokumentation, Archivierung 15 %
Personaleinsatz, Personalentwicklung, Mitarbeiterweiterbildung 15 %
Datenschutz gemäß BDSG 3 %
Sonstiges 22 %

Allerdings enthalten lediglich 60 Prozent der vertraglichen Vereinbarungen mit den Outsourcingnehmern explizite Anforderungen an die IT-Sicherheit. Und hiervon sehen zirka ein Fünftel der Verträge kein explizites Kontrollrecht vor. In Bezug auf die ausdrücklichen Anforderungen an den Datenschutz ist es in den betreffenden Verträgen nicht erheblich besser bestellt: Hier gelten ähnliche schlechte Zahlen wie bei der Sicherheit.

Welche Form von ISi-Beratung nutzen Sie? (Mehrfachnennungen möglich)
Basis der Prozentuierung (Beratungskunden): 154
Strategie- und Managementberatung 42 %
Durchführung von Risikoanalysen und Konzeptentwicklung 75 %
Durchführung von Schwachstellenanalysen 66 %
Durchführung von Penetrationstests 55 %
Umsetzung von Konzepten und Maßnahmen 32 %
Kontrolle vorhandener Konzepte auf Eignung und Einhaltung 31 %
Sonstiges 8 %

Das Thema Sicherheitsberatung zeigt hingegen ein deutlich positives Bild. So lassen sich insgesamt zirka 60 Prozent aller befragten Unternehmen regelmäßig oder gelegentlich durch Sicherheitsberater unterstützen. An der Spitze liegt hier deutlich die Durchführung von Risikoanalysen und Konzeptionsentwicklung, gefolgt von Schwachstellenanalysen, Penetrationstests sowie der Strategie- und Managementberatung. Besonders erfreulich ist, dass sich zirka 50 Prozent der Unternehmen uneingeschränkt mit der Beratung zufrieden erklären, und nur drei Prozent nicht zufrieden waren.

[zufrieden: 
49% ja, 
48% ja mit Einschränkungen, 
 3% nein]
Zufriedenheit mit ISi-Beratung

Versicherungen

Auch das Bild der Absicherung durch Abschluss von Versicherungen ist im Bereich IT-Sicherheit positiv zu bewerten: So geben 86 Prozent der Befragten an, eine Elektronikversicherung abgeschlossen zu haben, die von einem Drittel auch bereits in Anspruch genommen wurde. Allerdings handelt es sich vorrangig um Sachversicherungen. Nicht überraschend ist der hohe Anteil von Feuerversicherungen, da diese zu den Standards zählen. Im Gegensatz zu der vergleichsweise hohen Inanspruchnahme der Elektronikversicherungen müssen letztere (glücklicherweise) vergleichsweise selten einspringen.

Welche Versicherung aus dem Bereich ISi haben Sie ...? (Mehrfachnennungen möglich)
Basis der Prozentuierung: 235 jeweilige Abschlüsse
  abgeschlossen in Anspruch genommen
Elektronikversicherung 202 86 % 69 34 %
Sachversicherung 194 83 % 60 31 %
Datenversicherung/Softwareversicherung 69 29 % 4 6 %
Erweiterte Datenversicherung (inkl. Schäden durch Viren, fehlerhaftes Programmieren, versehentliches Löschen) 23 10 % 11 48 %
Mehrkostenversicherung 26 11 % 6 23 %
Elektronik-Betriebsunterbrechungsversicherung 65 28 % 3 5 %
Feuerversicherung 188 80 % 10 5 %
"Technologie-Police" o. ä. (Kombination von Elektronik- u. Maschinenversicherung) 23 10 % 3 13 %
Vertrauensschaden-Versicherung 36 15 % 4 11 %
Computermissbrauch-Versicherung 36 15 % 4 11 %
Datenmissbrauch-Versicherung 18 8 % 4 22 %
Datenschutzversicherung 29 12 % 6 21 %
Datenhaftpflicht-Versicherung 29 12 % 3 10 %
Datenrechtsschutz-Versicherung 12 5 % 4 33 %
Keine der genannten 22 9 % 11 5 %
(von 235)

Digitale Signatur

Die Auswertungen zu Konzepten, Methoden und Maßnahmen der IT-Sicherheit folgen in der nächsten KES im August. Wegen der aktuellen Entwicklung im Bereich der elektronischen Signaturen (vgl. S.  24) haben wir allerdings die entsprechenden Fragen vorgezogen. Nur rund ein Viertel der befragten Unternehmen nutzt digitale Signaturen beispielsweise im Rahmen der B2B-Kommunikation.

Auf die Frage nach der verwendeten Infrastruktur haben dementsprechend deutlich weniger Teilnehmer geantwortet, sodass sich die Prozentangaben der abgedruckten Tabelle nur auf eine recht kleine Stichprobe beziehen. Selbst dort zeigt sich – abgesehen von reinen Softwarelösungen – eine geringe Marktdurchdringung mit einem durchgängig hohen Antwortwert der Möglichkeit "nicht vorgesehen". Auf einem abgeschlagenen zweiten Platz in Sachen Realisierung liegen Chipkarten. In Sachen gesetzeskonformer Signaturen haben die fortgeschrittenen elektronischen Signaturen noch die besten Aussichten.

Welche Infrastruktur nutzen Sie für digitale/elektronische Signaturen?
  B2B-Server B2C-Server Client/PC mobile Endgeräte
  realisiert geplant nicht vorge-
sehen
realisiert geplant nicht vorge-
sehen
realisiert geplant nicht vorge-
sehen
realisiert geplant nicht vorge-
sehen
nur Software 58 % 7 % 34 % 53 % 12 % 35 % 64 % 15 % 21 % 64 % 3 % 33 %
Hardwaremodule 8 % 15 % 77 % 9 % 16 % 76 % 0 % 10 % 90 % 9 % 15 % 76 %
Hardware-Token 15 % 15 % 71 % 9 % 15 % 77 % 24 % 8 % 67 % 9 % 17 % 74 %
Chipkarten 25 % 11 % 64 % 22 % 12 % 66 % 37 % 19 % 44 % 9 % 32 % 60 %
"Klasse-2"-Chipkartenterminal (sichere PIN-Eingabe) 12 % 8 % 80 % 9 % 4 % 87 % 13 % 4 % 83 % 0 % 4 % 96 %
"Klasse-3"-Chipkartenterminal (mit eigenem Display) 11 % 0 % 89 % 7 % 2 % 91 % 7 % 0 % 93 % 0 % 0 % 100 %
laut Signaturgesetz (SigG) 0 % 14 % 86 % 8 % 11 % 82 % 8 % 10 % 83 % 0 % 5 % 95 %
fortgeschrittene Signatur 15 % 24 % 61 % 10 % 26 % 64 % 6 % 23 % 70 % 0 % 15 % 85 %
qualifizierte Signatur 7 % 14 % 80 % 0 % 23 % 78 % 13 % 20 % 67 % 4 % 21 % 74 %
qualifizierte Signatur mit Anbieterakkreditierung 15 % 4 % 80 % 14 % 12 % 74 % 10 % 10 % 80 % 4 % 4 % 91 %

Das Thema PKI hat deutlich an Interesse gewonnen: über 20 Prozent der befragten Unternehmen haben bereits eine PKI realisiert (2000 waren es 7 %), bei 53 Prozent der Unternehmen bestehen Planungen zur Implementierung von PKIs (2000: 31 %). An der Spitze der Einsatzzwecke steht E-Mail-Verschlüsselung, gefolgt vom Einsatz an Tele-Arbeitsplätzen, Dateiverschlüsselung und VPN. Hierbei sind die Einsatzzwecke sowohl bei "realisiert" wie bei "geplant" nahezu identisch. Für 81 Prozent ist das Herkunftsland der PKI-Lösung von Bedeutung. Bei den weiteren Auswahlkriterien steht die Automatisierung der Prozesse zur Erstellung und Verwaltung von Zertifikaten mit 72 Prozent aller Nennungen an der Spitze.

Teilnehmer

Basierend auf den statistischen Angaben, die abschließend erfragt wurden, ist festzustellen, dass in erster Linie große mittelständische Unternehmen sowie Großunternehmen und -institutionen an der Untersuchung teilgenommen haben. Der Maximalwert bei den Beschäftigten liegt bei mehreren Hunderttausend, wobei die durchschnittliche Anzahl der Mitarbeiter über 8000 beträgt. Die durchschnittliche Anzahl von Beschäftigten in der Informationsverarbeitung ist mit über 400 ebenfalls als sehr hoch anzusehen und wird teilweise durch eine Anzahl sehr großer Institutionen beeinflusst. Bei Unternehmen, die Mitarbeiter ausschließlich für Aufgaben der IT-Sicherheit beschäftigen, liegt auch dieser Wert mit einem Durchschnitt von 16 über einem gesamtwirtschaftlich anzunehmenden Mittel.

Die IT-Ausstattung belegt die These der "Großen". Durchschnittlich sind bei den Teilnehmern der Studie über 4000 Clients/PCs vorhanden, bei einem Maximalwert von 120 000. Die größte Institution verfügt über 200 Mainframes, was stolzen 23 Prozent aller 883 Großrechner entspricht, die im Rahmen dieser Analyse genannt werden. Bemerkenswert ist weiterhin, dass bereits über zehn Prozent der genannten Endgeräte auf mobile Systeme wie Notebooks oder PDAs entfallen. Ein Wert von fast 150 000 solcher Geräte belegt zum einen das Vordringen der mobilen Technik, zeigt aber auch ein erhöhtes Risikopotenzial auf, das deren Nutzung begründet – besonders angesichts der aufgezeigten schlechten Einschätzung der Informationssicherheit für mobile Endgeräte.

[Teilnehmer aus: 
225 DE, 
 20 CH, 
  5 AT, 
  3 USA, 2 Niederlande, 2 Luxemburg, 1 Schweden]
(Haupt-)Sitz der teilnehmenden Institutionen

Branchen

Über ein Fünftel der Befragten sind der Kreditwirtschaft zuzurechnen, gut ein Zehntel bezeichnen sich als Berater; den gleichen Anteil haben Behörden, denen man noch die fast fünf Prozent der Institutionen aus dem Bereich Wissenschaft/Forschung/Schulen zuordnen kann, um den öffentlichen Sektor zusammenzufassen. Generell sind gerade diejenigen Institutionen und Unternehmen vertreten, bei denen aufgrund ihrer Tätigkeit von einem erhöhten Sicherheitsbewusstsein auszugehen ist. Die teilweise immer noch erschreckenden Ergebnisse entstammen somit einer eher positiv verzerrten Stichprobe, bei der man eine erhöhte Sensibilisierung in Sachen Sicherheit vermuten kann. Die IT-Security dürfte sich im Allgemeinen noch deutlich schlechter darstellen.

[21% Kreditwirtschaft, 
12% Berater, 
12% Behörden, 
 9% Versicherungen, 
 6% übrige Industrie, 
 5% TK-Dienstleister, 
 5% Outsourcing-Dienstleister, 
 5% Wissenschaft/Forschung/Schulen, 
 ...]
Branchenzuordnung der Teilnehmer an der KES/KPMG-Sicherheitsstudie

Budgets

149 Teilnehmer haben Angaben zum Budget für die Informationsverarbeitung – inklusive der Personalkosten – gemacht, ihre Unternehmen veranschlagen hierfür insgesamt 132 781 000 Euro. 125 Institutionen gaben darüber hinaus Informationen über das Budget für Informationssicherheitsmaßnahmen an, die bei 7 682 927 Euro liegen (inkl. Personal). Dabei ist festzustellen, dass die Antworten insbesondere bei den Angaben zum IT-Sicherheitsbudget zu 95 Prozent nur geschätzt werden konnten und nur bei fünf Prozent der Angaben hierfür eine Grundlage im Rahmen der Budgetierung oder des Rechnungswesens benutzt wurde.

Datenwert

Den immensen Wert der vorgehaltenen Daten verdeutlicht die Schlussfrage nach den Auswirkungen der Vernichtung aller elektronisch gespeicherten Daten: Rund 16 Prozent der Befragten waren der Auffassung, dass ein solcher Verlust gleichbedeutend mit dem finanziellen Ende des Unternehmens sei (Konkurs, Unternehmensende, Bankrott). 46 Prozent schätzten einen Schaden von über einer Million Euro, weitere 21 Prozent sahen mehr als 250 000 Euro Schaden bei totalem Datenverlust. Die konkret geschätzten Zahlen weisen auf beachtliche Schadenshöhen hin, die sich aber in einem wirtschaftlich plausiblen Rahmen halten. Es liegt nahe zu vermuten, dass die Prognosen zum Unternehmensende entweder Extrembeispiele sind oder aber die Antwortenden eine etwas pauschale Wertung vorgenommen haben.

Bitte schätzen Sie: Wenn in Ihrem Haus alle elektronisch gespeicherten Daten vernichtet würden, wie hoch würden Sie den Verlust beziffern?
Basis der Prozentuierung: 147
Konkurs/Pleite 7 %
Unternehmensende 2 %
Bankrott 7 %
nicht bezifferbar 6 %
unter 100 000 € 5 %
100 000–250 000 € 6 %
250 000–1 000 000 € 21 %
über 1 000 000 € 46 %

Prof. Dr. Reinhard Voßbein ist Geschäftsführer der UIMCert GmbH. Dr. Jörn Voßbein ist Geschäftsführer der UIMC Dr. Voßbein GmbH & Co. KG ([externer Link] www.uimc.de).

© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 2002/3, Seite 14