Management und Wissen
KES/KPMG-Sicherheitsstudie 2002
Lagebericht zur IT-Sicherheit (2)
Von Reinhard Voßbein und Jörn Voßbein,
Wuppertal
Verlässliche Zahlen zu Risiken und Angriffen sowie
Konzepten und Maßnahmen der IT-Sicherheit in der aktuellen
Praxis sind selten, ganz zu schweigen von konkreten Erkenntnissen
über Vorhaben für die sicherheitsrelevante Zukunft der
IT-Landschaft. Als umso nützlicher dürften sich die
Ergebnisse unserer 9. Sicherheitsstudie aufgrund der umfassenden
Antworten hochkarätiger Teilnehmer erweisen.
Die Teilnehmer an der KES/KPMG-Sicherheitsstudie sind
üblicherweise große Unternehmen; in diesem Jahr mit
durchschnittlich 8 000 Mitarbeitern, jeweils über 400
davon in der Informationsverarbeitung. Auch die vertretenen
Branchen legen mit einem beträchtlichen Anteil von
Kreditwirtschaft, Behörden und Versicherungen den Schluss
nahe, dass es sich bei den Befragten um eine Stichprobe handelt,
die eine erhöhte Sensibilisierung in Sachen Sicherheit
aufweist. Im Allgemeinen dürften daher Maßnahmen und
Konzepte zur IT-Security eher noch weniger verbreitet sein als es
die – teilweise noch immer erschreckenden – Ergebnisse
dieser Studie darlegen.
Genauere Hinweise zu statistischen Daten der Teilnehmer an der
KES/KPMG-Sicherheitsstudie finden Sie im ersten Teil unseres
Lageberichts zur IT-Sicherheit (s. KES 2002/3, S. 14) zusammen mit
Auswertungen zur aktuellen und zukünftigen Risikosituation,
dem Kenntnisstand und Stellenwert der Informationssicherheit
(ISi) sowie
Informationen über Outsourcing, Consulting und Versicherungen.
Die konkreten Erkenntnisse zu digitalen Signaturen und Public Key
Infrastructures (PKI) haben wir – aus aktuellem Anlass
– ebenfalls bereits in der vorigen KES
veröffentlicht.
----------Anfang Textkasten----------
[Kasten
überspringen]
Vielen Dank für freundliche
Unterstützung
Die folgenden Unternehmen fördern die
Durchführung unserer aktuellen Sicherheitsstudie:
![[Sponsoren: KPMG - DIM - HP - IBM - Lampertz - ROG - SAP - SOPHOS - TSCHANNEN - UIMC]](sponsoren-341.jpg)
Für zusätzliche Anregungen und Hinweise bedanken wir
uns beim Bundesamt für Sicherheit in der Informationstechnik
(BSI) sowie bei Prof. Dr. Alfred Büllesbach –
DaimlerChrysler AG, Dr. Gerhard Weck – INFODAS Gesellschaft
für Systementwicklung und Informationsverarbeitung mbH,
Hans-Joachim Gaebert Unternehmensberatung, Dr. Louis Marinos
– MNEMON sowie bei der UIMC Dr. Voßbein GmbH & Co
KG, der auch die wissenschaftliche Beratung und Auswertung dieser
Studie obliegt.
Nicht zuletzt gilt unser Dank den Verbänden und
Anwendervereinigungen, die den Fragebogen der Studie ihren
Mitgliedern zugänglich machen, und natürlich den
Teilnehmern selbst.
----------Ende Textkasten----------
Das Thema IT-Sicherheitsstrategie und -Konzepte erwies sich in
nahezu allen KES-Studien in der Vergangenheit als eher notleidend.
Hier scheint sich eine gewisse Verbesserung abzuzeichnen:
56 Prozent der Befragten gaben an, eine schriftlich fixierte
Strategie für die IT-Sicherheit zu haben. Auch die
Sicherheitsmaßnahmen basieren zu über 70 Prozent
auf schriftlichen Formulierungen. Die Nutzung von Internet und
E-Mail beruht sogar zu 86 Prozent auf einer schriftlich
fixierten Konzeption. Die genannten Punkte sind somit in den
betreffenden Unternehmen kontrollierbar, revisionsfähig und
nach den Grundsätzen ordnungsmäßiger
Projektabwicklung nachvollziehbar. Dies bestätigt sich auch
darin, dass lediglich ein Viertel der Teilnehmer die
Einhaltung der vorgesehenen Maßnahmen nicht
prüft, wohingegen bei denjenigen, die Kontrollen
durchführen, die Revision eine dominierende Position
einnimmt.
![[Einhaltung der Maßnahmen prüft:
48% die Revision,
12% externe Sicherheitsberater,
34% die eigene Sicherheitsabteilung,
12% sonstiges,
24% Einhaltung wird nicht geprüft]](16-1-341.gif)
Überprüfung der Einhaltung der Maßnahmen
Sogar 84 Prozent der Teilnehmer prüfen die
Eignung der Konzepte, vor allem durch erneute
Schwachstellen-und Risikoanalysen sowie Notfall- und
Wiederanlaufübungen. Das ist auch dringend geboten: Denn
nahezu 90 Prozent aller Überprüfungen haben
Schwachstellen aufgedeckt, deren Beseitigung bei zwei Drittel der
befragten Unternehmen noch andauert. Lediglich bei
einem Prozent wurden anschließend keine Aktivitäten
ergriffen. Die Überprüfungen erstrecken sich bei rund
60 Prozent nur auf einzelne Systeme, bei immerhin
33 Prozent auf alle geschäftskritischen Systeme.
Ein EDV-Notfall-/Wiederanlaufkonzept
mit schriftlicher Fixierung und Validierung besitzen allerdings nur
26 Prozent der Unternehmen. Zwar geben weiterer zirka
60 Prozent an, ein solches Konzept zu haben, dieses sei aber
entweder nicht schriftlich fixiert oder nicht validiert und
freigegeben worden. An der Sinnhaftigkeit solcher Verfahrensweisen
dürften Zweifel angebracht sein. Die
Hochverfügbarkeitsanforderungen von E-Business-Systemen sind
nur bei einem Bruchteil der untersuchten Unternehmen in den
Konzepten berücksichtigt.
| Die (fortdauernde) Eignung der Konzepte /
Richtlinien wird überprüft mithilfe von ... (Mehrfachnennungen möglich) |
| Basis der Prozentuierung: |
258 |
| (erneuten) Schwachstellenanalysen |
44 % |
| (erneuten) Risikoanalysen |
40 % |
| Übungen (Notfall, Wiederanlauf) |
31 % |
| Penetrationsversuchen |
27 % |
| Simulationen oder Szenarien |
12 % |
| Sonstiges |
6 % |
| Es erfolgt keine Überprüfung |
16 % |
Bewertung der Verbesserungssituation
Der Sinn von Schwachstellenkonzeptionen und
Sicherheitsmaßnahmen kann nur in einer Verbesserung der
Sicherheitssituation liegen. Bei der Frage nach Hindernissen
für eine Verbesserung der IT-Sicherheit steht fehlendes
Problembewusstsein mit weitem Abstand an der Spitze: So fehlte es
nach Aussage der Befragten in zwei Drittel aller Fälle am
richtigen Bewusstsein der Mitarbeiter, dicht gefolgt von dem des
mittleren Managements und immerhin noch bei 50 Prozent des
Top-Managements. 46 Prozent der Befragten nannten fehlendes
Geld als wesentliches Hindernis für die Beseitigung von
Sicherheitsmängeln. Die Auswertung der Mehrfachnennungen
zeigt, dass im Durchschnitt 4,7 Hindernisse bestehen, in den
Unternehmen und Behörden also meist ein ganzer Kanon von
Problemen existiert, die eine Verbesserung der
Informationssicherheit erschweren.
| Welche Probleme behindern Sie am meisten bei der
Verbesserung der ISi? (Mehrfachnennungen möglich) |
| Basis der Prozentuierung:
260 |
| Es fehlt an Bewusstsein bei den Mitarbeitern |
65 % |
| Es fehlt an Bewusstsein beim mittleren
Management |
61 % |
| Es fehlt an Bewusstsein und Unterstützung im
Top-Management |
50 % |
| Es fehlt an Geld |
46 % |
| Es fehlt an Möglichkeiten zur Durchsetzung
sicherheitsrelevanter Maßnahmen |
38 % |
| Es fehlen verfügbare und kompetente
Mitarbeiter |
37 % |
| Die Kontrolle auf Einhaltung ist unzureichend |
34 % |
| Es fehlen die strategischen Grundlagen /
Gesamt-Konzepte |
34 % |
| Anwendungen sind nicht für ISi-Maßnahmen
vorbereitet |
22 % |
| Es fehlen realisierbare (Teil-)Konzepte |
21 % |
| Die vorhandenen Konzepte werden nicht
umgesetzt |
20 % |
| Es fehlen geeignete Methoden und Werkzeuge |
18 % |
| Es fehlen geeignete Produkte |
12 % |
| Es fehlt an praxisorientierten
Sicherheitsberatern |
10 % |
| Sonstiges |
6 % |
| Keine |
4 % |
Diese Problematik zeigt sich auch darin, dass fast
70 Prozent der Befragten angeben, Sicherheitsaspekte seien bei
der Beschaffung von EDV-Systemen eher
zweitrangig oder unbedeutend. Zwei Drittel der befragten
Unternehmen verzichten auf eine Verifikation der Erfüllung von
Sicherheitsanforderungen vor der Inbetriebnahme von Systemen.
Risikobewertung
Das Thema Risikobewertung ist seit den grundlegenden Arbeiten
des Bundesamts für Sicherheit in der Informationstechnik (BSI)
aus der Sicherheitsdiskussion nicht mehr wegzudenken.
Erfreulicherweise führen 21 Prozent der befragten
Unternehmen eine Risiko- und Schutzbedarfsbewertung für
alle Anwendungen und Systeme durch, immerhin 49 Prozent
zumindest für einzelne Systeme. 30 Prozent der Teilnehmer
gaben an, dass bei ihnen keine Risikobewertung vorgenommen wird.
Hierbei wird die Klassifizierung durch die Beurteilung des
Imageverlusts dominiert, gefolgt von Verstößen gegen
Gesetze, Vorschriften und Verträge. Die Gruppe der direkten
und indirekten finanziellen Schäden landet hingegen nur im
Mittelfeld.
![[Risikoklassifizierung erfolgt für:
49% einzelne Systeme/Anwendungen,
21% alle Systeme/Anwendungen,
30% überhaupt nicht]](16-2-200.gif)
Risikoklassifizierung
| Wie wichtig sind die folgenden Kriterien für
die Klassifizierung von Anwendungen / Systemen in Ihrem Haus? |
| |
sehr wichtig (2) |
wichtig (1) |
unwichtig (0) |
Bedeutungsfaktor |
| Imageverlust |
60 % |
31 % |
9 % |
1,51 |
| Verstöße gegen Gesetze / Vorschriften /
Verträge |
54 % |
39 % |
7 % |
1,47 |
| direkter finanzieller Schaden durch Manipulationen
an finanzwirksamen Informationen |
52 % |
32 % |
16 % |
1,36 |
| Verzögerung von Arbeitsabläufen |
44 % |
46 % |
9 % |
1,35 |
| Schaden bei Dritten / Haftungsansprüche |
30 % |
51 % |
19 % |
1,11 |
| indirekte finanzielle Verluste |
28 % |
41 % |
31 % |
0,98 |
| direkter finanzieller Schaden an Hardware u.
ä. |
27 % |
44 % |
29 % |
0,97 |
| Verstöße gegen interne Regelungen |
13 % |
59 % |
28 % |
0,85 |
Gesetzliches Umfeld
Angesichts der hohen Bedeutung, die Gesetzen bei der
Risikobewertung eingeräumt wird, nehmen die Teilnehmer der
Studie Probleme, die aus Gesetzen und Regelungen für die
Unternehmen hervorgehen, häufig in einem zu geringen
Maße wahr. Die Antworten zur Umsetzung der Gesetze mussten
allerdings mit einer gewissen Vorsicht interpretiert werden, da sie
teilweise inkonsistent zu den Relevanz- und Bekanntheits-Angaben
wirken. Das bekannteste Gesetz ist eindeutig das
Bundesdatenschutzgesetz (BDSG): 74 Prozent der Befragten gaben
zudem an, dass das BDSG für sie auch relevant sei –
aufgrund der Befragtenstruktur müsste man jedoch eine noch
höhere Durchdringung erwarten. In immerhin knapp zwei Dritteln
der befragten Unternehmen wird das BDSG umfassend umgesetzt.
Schlechtere Ergebnisse zeigten sich für die
Telekommunikations- und Teledienste-Gesetze, sowohl beim
Bekanntheitsgrad als auch in der Umsetzung: Jeweils rund
25 Prozent sind die Regelungen von TKG, TDG sowie der zugehörigen
Datenschutzbestimmungen gänzlich unbekannt. Von den
Teilnehmern, die Angaben zur Umsetzung dieser Bestimmungen gemacht
haben, bezeichneten nur ein Viertel diese als umfassend. Angesichts
der Bedeutung gerade der Teledienstegesetze für das E-Business
sowie die Protokollierung auf Firewalls und Webservern (vgl. KES 2000/5,
S. 6) ist das eine
ernüchternde Quote.
Als ähnlich unbekannt erweist sich bei den Befragten das
Gesetz zur Kontrolle und Transparenz im Unternehmensbereich
(KonTraG), das Unternehmen unter anderem zur Einrichtung von
Risikomanagementsystemen verpflichtet. Die Formulierung des KonTraG
wendet sich zwar unmittelbar nur an den Vorstand
börsennotierter Gesellschaften, die Gesetzesbegründung
legt aber nach Meinung vieler Experten den Schluss nahe, dass sich
ähnliche Verpflichtungen auch für andere
Unternehmensformen aus den Sorgfaltspflichten der
Geschäftsführer ergeben.
![[relevant bei x% (unbekannt für x%):
74% BDSG (15%),
38% KonTraG (25%),
38% TKG/TDDSV/TKÜV (26%),
29% TDG/TDDSG (26%),
23% GDPdU (43%),
17% SigG/SigV (22%)]](16-3-341.gif)
Relevanz und Bekanntheit der Gesetze
Tools und Vorgehensweisen
Die für die Beurteilung der IT-Sicherheit eingesetzten
methodischen Vorgehensweisen und Software-Tools werden dominiert
von checklistengestützten Schwachstellenanalysen, gefolgt von
Verfahren nach dem IT-Grundschutzhandbuch des BSI.
Die "Verfolgergruppe" bilden selbst und von Beratern
entwickelte Verfahren, Softwareanalyse-Tools sowie das
IT-Sicherheitshandbuch des BSI.
An der Spitze der Prüfungsobjekte stehen
Datenklassifizierung und Zugriffsrechte gefolgt von der
Ablauforganisation. Eine zweite eng beieinander liegende Gruppe
bilden softwareorientierte Prüfungen: Softwareeinsatz,
-entwicklung und der -funktionalität. Auch Konzeptionen und
Zielsetzungen werden noch von über 40 Prozent einer
ISi-orientierten
Prüfung unterzogen.
| Im Rahmen von Prüfungen (z. B. durch interne Revision,
Wirtschaftsprüfer) werden unter ISi-Aspekten geprüft: |
| Basis der Prozentuierung: |
254 |
| Konzeption und Zielsetzung |
41 % |
| Aufbauorganisation |
39 % |
| Ablauforganisation (z. B. für einzelne
Vorgänge, Verfahren) |
56 % |
| Software (Korrektheit, Fehlerfreiheit usw.) |
41 % |
| Software-Entwicklung (inkl. Test- und
Freigabeverfahren) |
42 % |
| Software-Einsatz |
53 % |
| Übereinstimmung der System-Konfiguration mit
Vorgaben |
35 % |
| Datenklassifizierung und Zugriffsrechte |
57 % |
| Change Management (z. B.
Änderungshistorie) |
40 % |
| Virenschutz |
38 % |
| Sonstiges |
7 % |
| nichts Derartiges |
22 % |
Maßnahmen
Die Erfassung der realisierten, geplanten und nicht vorgesehenen
Maßnahmen zur Erhöhung der IT-Sicherheit erfolgte in
einer komplexen Tabelle, wobei einige Maßnahmen nochmals in
Untergruppen genauer behandelt wurden. Bei der Auswertung wurde
diese Tabelle zur besseren Übersicht zusätzlich in
sinnvolle Einzeltabellen zerlegt, zumal die Bezugsgrundlagen der
Prozentuierung durch unterschiedliche Stellungnahmen oder fehlende
Antworten ständig wechseln. Dabei lag unser besonderes
Augenmerk auf den bereits realisierten Maßnahmen. In der
Gesamtansicht ist die Differenz zwischen dem Prozentanteil
derjenigen Unternehmen, die eine Maßnahme realisiert haben,
und der Gesamtheit von 100 Prozent jeweils in denjenigen
Unternehmen zu sehen, die die betreffende Maßnahme erst
planen oder aber nicht vorgesehen haben. Grundsätzlich haben
die Serversysteme den höchsten Realisationsstand im Hinblick
auf Sicherheit.
| Gesamtansicht der Maßnahmen, die realisiert
wurden. |
| |
Server |
Clients |
mobile Endgeräte (Notebooks, PDAs) |
| |
realisiert |
realisiert |
realisiert |
| Physische Sicherheit |
99 % |
85 % |
66 % |
| Authentisierung |
98 % |
97 % |
95 % |
| Virenschutzmechanismen |
98 % |
97 % |
88 % |
| Firewalls |
98 % |
58 % |
48 % |
| Unterbrechungsfreie Stromversorgung (USV) |
97 % |
59 % |
29 % |
| Klimatisierung |
94 % |
40 % |
27 % |
| Proxy-Server |
91 % |
67 % |
57 % |
| Protokollierung unberechtigter Zugriffe |
87 % |
72 % |
71 % |
| Reserve-Netzzugang zur
Ausfallüberbrückung |
79 % |
68 % |
56 % |
| Rückrufautomatik bei Modemzugriff |
77 % |
48 % |
51 % |
| physikalisches Löschen von
Datenträgern |
76 % |
64 % |
56 % |
| Verschlüsselung |
70 % |
67 % |
67 % |
| Benutzerverzeichnis mit Security-Policy |
69 % |
61 % |
59 % |
| Content Inspection/Filtering
(Adress-/Inhaltsfilter) |
66 % |
32 % |
31 % |
| Intrusion Detection System (IDS) |
43 % |
12 % |
5 % |
| Public Key Infrastructure (PKI) |
20 % |
23 % |
18 % |
Die Teilübersicht zu den Authentisierungsmaßnahmen
zeigt leider immer noch eine starke Dominanz des Passworts. Die
biometrischen Verfahren erweisen sich in der derzeitigen Praxis
generell als bedeutungslos und liegen auch in der Planung
regelmäßig nur auf Platz zwei hinter den Chipkarten.
![[realisiert auf Clients:
95% Passwort,
12% Hardware Token,
3% Chipkarte,
1% biometrische Verfahren]](16-4-341.gif)
Realisierte Maßnahmen zur Authentisierung
Verschlüsselung
Die Maßnahmen zur Verschlüsselung zeigen eine klare
Dominanz bei ausgewählten sensitiven Daten – besonders
positiv fällt auf, dass vor allem die Festplatten und Dateien
mobiler Endgeräte in hohem Maße chiffriert werden.
| Detaillierte Übersicht der Maßnahmen zur
Verschlüsselung |
| |
Server |
Clients |
mobile Endgeräte (Notebooks, PDAs) |
| |
realisiert |
realisiert |
realisiert |
| Verschlüsselung von |
100 %
=147 |
100 %
=132 |
100 %
=134 |
| sensitiven Dateien |
54 % |
51 % |
69 % |
| Festplatten (kpl.) |
16 % |
17 % |
46 % |
| Archivdatenträgern/Backups |
24 % |
12 % |
11 % |
| LAN-/Intranet-Verbindungen |
39 % |
40 % |
32 % |
| WAN/Internet-Verbindungen |
59 % |
55 % |
44 % |
| Telefon |
10 % |
8 % |
4 % |
| Fax |
7 % |
8 % |
6 % |
| E-Mail |
46 % |
60 % |
46 % |
Bei der konkreten Frage, ob man E-Mail verschlüssele,
sofern der Kommunikationspartner über einen
Kryptoschlüssel verfügt, antworteten 44 Prozent der
Befragten, dies für sensitive Nachrichten zu tun,
13 Prozent bei allen externen E-Mails. Vier Prozent gaben an,
jede Nachricht, die verschlüsselt werden kann, zu chiffrieren.
An der Spitze der verwendeten Standards steht eindeutig PGP, mit nahezu dem
doppelten Wert wie S/MIME. Im Vergleich zu den eingesetzten
Verschlüsselungsverfahren ist die Verwendung digitaler
Signaturen noch außerordentlich gering verbreitet (s. KES 2002/3,
S. 14).
![[Mailverschlüsselung, falls möglich für:
44% sensitive Nachrichten,
13% externe Kommunikation,
4% alle Nachrichten]](16-5-200.gif)
Nutzung der E-Mailverschlüsselung, sofern der
Kommunikationspartner über einen Kryptoschlüssel
verfügt
Virenschutzmechanismen wurden wenig überraschend für
nahezu alle Clients und Server als realisiert gemeldet –
lediglich bei mobilen Endgeräten ist mit 88 Prozent eine
vergleichsweise geringe Durchdringung vorhanden. Bei der
Detailfrage nach den konkreten Vorsorgemechanismen führen die
Virenscanner klar mit 88 Prozent, wobei immerhin
51 Prozent auf Servern/Gateways und PCs aus
Sicherheitsgründen Software von zwei oder mehr verschiedenen
Anbietern einsetzen.
![[AV-Software bei:
49% von einem Anbieter,
39% von zwei Anbietern,
12% von drei oder mehr Anbietern]](16-6-200.gif)
Einsatz von Anti-Viren-Software verschiedener Hersteller auf
Servern/Gateways beziehungsweise PC-Systemen
77 Prozent der befragten Unternehmen nutzen zudem
Prüfsummenprogramme. Über 75 Prozent der Befragten
sind der Auffassung, dass die getroffenen Maßnahmen auch eine
hinreichende Wirksamkeit gegen Makroviren bei Office-Dokumenten und
gegen onlineübertragene Schadsoftware haben (zum Beispiel in
E-Mail-Anhängen oder Downloads) – je 5 Prozent
halten den Schutz für nicht ausreichend, der Rest ist sich
nicht sicher.
![[88% Virenscanner,
77% Prüfsummenprogramme,
57%, isolierte Testumgebung,
15% Online-Virenwächter auf PCs,
37% Sonstiges,
2% keine Vorsorge ]](16-7-341.gif)
Vorsorge gegen Malware
Intrusion Detection Systems (IDS) sind nach wie vor relativ
selten. Um die 40 Prozent der befragten Unternehmen hat IDS im
Einsatz, in etwa die gleiche Zahl plant den Einsatz auf
Serversystemen. Bei der Auswertung von Log-Dateien zeigte sich,
dass Firewall- und Betriebssystem-Protokolle am sorgfältigsten
durchgesehen werden, zu einem beträchtlichen Teil mehr als
einmal pro Woche. Die Log-Files von Netzwerkkomponenten (Router,
Switches usw.) sowie Web- und E-Commerce-Applikationen prüfen
die Befragten hingegen zu einem größeren Anteil
anlassbezogen oder gar nicht.
Nahezu zwei Drittel der Unternehmen haben in den letzten
zwölf Monaten einen Penetrationstest in Auftrag gegeben, wobei
78 Prozent dies in Bezug auf die Internet-Infrastruktur und
50 Prozent in Bezug auf kritische Systeme von innen
durchführten.
| Setzen Sie Intrusion Detection Systeme ein? |
| Basis der Prozentuierung
(Institutionen, die IDS einsetzen): |
82 |
| |
netzbasiert |
hostbasiert |
zentrale Auswertung der Logfiles |
unveränderliche Speicherung der Logfiles |
| Firewall zum Internet |
55 % |
33 % |
54 % |
23 % |
| DMZ |
43 % |
23 % |
34 % |
11 % |
| Interne Firewalls |
11 % |
5 % |
15 % |
2 % |
| Intranet/LAN |
23 % |
12 % |
11 % |
7 % |
Security-Management
Auch bei der Frage nach der Bedeutung für das
unternehmensweite Security-Management zeigten sich IDS als weniger
wichtig und landeten nur auf Rang sechs. An der Spitze steht
eindeutig die zentrale Überwachung der eingesetzten
Security-Systeme; nur vier Teilnehmer sahen dies als unwichtig an.
92 Prozent erachten eine plattformübergreifende
Benutzerverwaltung für sehr wichtig oder wichtig. Für
tendenziell unwichtig wurde Kontrolle und Überwachung von
Internet-Missbrauch gehalten: Hier handelt es sich immerhin um
24 Prozent, die diesem Merkmal eine niedrige Priorität
beimessen.
![[sehr wichtig / wichtig sind:
73% / 25% zentrale Überwachung,
64% / 27% plattformübergreifende Benutzerverwaltung,
55% / 38% Alarm- und Eskalationssystem,
40% / 47% Virtual Private Networks,
31% / 53% Intrusion Detection Systems,
33% / 48% Single Sign-on,
30% / 47% Kontrolle von Internet-Missbrauch,
29% / 46% Public Key Infrastructures,
68% / 11% Sonstiges]](16-8-341.gif)
Bewertung der Komponenten des Security-Managements
Physische Sicherheit
Maßnahmen zur physischen Sicherheit sind vorrangig
für Server implementiert, hierbei dominiert die
Zutrittskontrolle. Nicht unerwartet sind auch Einbruchs- und
Brandmeldesysteme sowie Löschanlagen recht verbreitet. Positiv
ist auch ein relativ hoher Wert von Maßnahmen gegen
Hardwarediebstahl bei den mobilen Endgeräten (58 %) zu
werten, wobei hier eine genauere Analyse der eingesetzten
Maßnahmen von Interesse sein könnte. Generell geringe
Beachtung finden Schutzmaßnahmen gegen kompromittierende
Abstrahlung, eine in der Vergangenheit häufig
überschätzte Gefahr.
Mit 89 Prozent der Teilnehmer haben
erwartungsgemäß viele die Stromversorgung ihrer EDV mit
Überspannungsschutz ausgerüstet; Daten-, Telefon- und
Modemleitungen sind bei 43 Prozent der Befragten
geschützt. Wer keinen Überspanunngsschutz realisiert hat,
hält vor allem das entsprechende Risiko für wenig
gravierend. Eine generelle Bewertung physischer Risiken im
Sicherheitskonzept findet übrigens nur bei 30 Prozent der
Befragten statt.
|
| |
Server |
Clients |
mobile Endgeräte (Notebooks, PDAs) |
| |
realisiert |
realisiert |
realisiert |
| Physische Sicherheit durch |
100 %
=253 |
100 %
=144 |
100 %
=90 |
| Zutrittskontrolle |
86 % |
66 % |
46 % |
| Bewachung |
46 % |
35 % |
21 % |
| Video-Überwachung |
28 % |
10 % |
1 % |
| Einbruchsmeldesysteme |
70 % |
48 % |
27 % |
| Schutz von Glasflächen gegen Durchbruch /
Durchwurf |
56 % |
26 % |
8 % |
| Sicherheitstüren |
76 % |
32 % |
20 % |
| Brandmeldesysteme |
83 % |
60 % |
31 % |
| Löschanlagen |
50 % |
22 % |
8 % |
| andere Meldesysteme (z. B. Gas, Staub,
Wasser) |
38 % |
8 % |
4 % |
| Datensicherungsschränke/-räume |
80 % |
32 % |
26 % |
| Schutz gegen kompromittierende Abstrahlung |
13 % |
3 % |
0 % |
| Maßnahmen gegen Hardwarediebstahl |
42 % |
35 % |
57 % |
Katastrophenvorsorge
Ein wesentliches Merkmal zur Sicherstellung der Business
Continuity ist das Vorhalten wesentlicher Systemkomponenten an
verschiedenen Orten. Hier zeigt sich, dass die Kooperation mit
einem externen Anbieter bei denjenigen, die überhaupt eine
Auslagerung praktizieren, an letzter Stelle steht. Auf Rang eins
befindet sich die Auslagerung in einem anderen Gebäude,
gefolgt von der in einem anderen Brandabschnitt.
Bei der Bereitstellung für längere Ausfälle
dominieren Cluster und Load Balancing mit Überkapazitäten
sowie die "warme Lösung", bei der komplette
Räume mit wichtiger Hardware vorgehalten werden. In den
letzten Jahren haben zudem auch Konfigurationen mit identischen
Netzen größere Bedeutung erlangt. Von denjenigen
Unternehmen, die Verträge mit externen Dienstleistern/Partnern
abgeschlossen haben, stehen Verträge über die schnelle
Lieferung von Hardware an der Spitze, dicht gefolgt über
Verträge zur Nutzung eines stationären
Ausweichrechenzentrums. Die Containerlösungen sind der Anzahl
der Nennungen nach weit entfernt von den anderen Lösungen. Die
hohe Zahl der Befragten, die angeben, auf diesem Gebiet eine
Versicherung abgeschlossen zu haben, ist innerhalb der Stichprobe
der KES/KPMG-Sicherheitsstudie 2002 deutlich höher als im
gesamten Markt.
Eine erstaunlich hohe Zahl von Unternehmen (92 Prozent) ist
der Auffassung, dass Recovery-Maßnahmen nur über ein
strategisches Konzept entschieden werden sollen. Dieses wird dann
mit eigenen Kräften unter Nutzung externer Beratung
erstellt.
![[Maßnahmen für längere
Ausfälle auf Mainframes / Unternehmensservern:
61% Versicherung,
46% Cluster/Load-Balancing,
44% Verträge über schnelle Ersatzlieferung,
43% Ausweichräume mit Hardware,
36% Ausweicheräume ohne Hardware, ... ]](16-9-341.gif)
Bereitstellung für längere Ausfälle
Notfall-Dokumentation
Eine Notfall-Dokumentation existiert in über
50 Prozent aller Unternehmen. Hierbei dominiert das manuelle
Handbuch, wobei weiterhin eine beachtliche Zahl der Befragten ein
solches in Arbeit oder Planung haben (35 %). Auf diesem Sektor
ist seit dem 11. September 2001 generell eine verstärkte
Aufmerksamkeit zu vermerken. Die Notfall-Dokumentation ist
grundsätzlich allgemein ausgelegt (96 Prozent) und
enthält in den meisten Fällen vor allem Aktionspläne
für den K-Fall sowie für Störungen im Tagesbetrieb.
Typisch für die befragte Gruppe ist, dass die Dokumentation
nach Auffassung von 87 Prozent der Teilnehmer die
Anforderungen nach dem KonTraG erfüllt. Weniger als
20 Prozent gaben an, eine Notfall-Dokumentation weder zu
besitzen noch zu planen.
Die Aktualisierung der Dokumentation erfolgt bei den meisten nur
sporadisch (47 %). Fast achtzig Prozent der Antwortenden sind
der Meinung, dass die Aktualität der gesamten Dokumentation
durch den Einsatz im Tagesbetrieb erreichbar ist. Die gesamte
Bedeutung des Notfallproblems kommt auch darin zum Ausdruck, dass
62 Prozent für Erstellung und Koordination der
Notfallplanung eine verantwortliche Person ernannt haben, und dass
die Ergebnisse von Notfallübungen vom überwiegenden Teil
in die Dokumentation einfließen.
![[92% Aktionspläne für K-Fall,
86% Aktionspläne für K-Fall
und Söärungen im Tagesbetrieb,
93% IT-Dokumentation (Verantwortung),
96% Allgemeine Dokumentationen,
64% Inventare;
87% Anforderungen nach KonTraG erfüllt]](16-10-341.gif)
Inhalte der Notfall-Dokumentation
Zertifizierung
Das Wirken des Bundesamts für Sicherheit in der
Informationstechnik (BSI) auf dem Sektor der IT-Sicherheit ist den
meisten Befragten bekannt. Das IT-Sicherheitshandbuch sowie das
Grundschutzhandbuch haben einen sehr hohen Bekanntheitsgrad
erlangt, während verschiedene Dienstleistungen des BSI
wie Akkreditierung und Evaluierung nur noch rund einem Drittel der
Unternehmen bekannt sind.
| Sind Ihnen die folgenden Aufgaben und
Dienstleistungen des BSI
bekannt? (Mehrfachnennungen
möglich) |
| Basis der
Prozentuierung: |
250 |
| |
Nennungen |
Prozent |
| IT-Sicherheitshandbuch |
230 |
92 % |
| IT-Grundschutzhandbuch |
231 |
92 % |
| Schriften/Faltblätter zur IT-Sicherheit |
218 |
87 % |
| Informationsdienst (BSI-Forum
in der KES) |
166 |
66 % |
| BSI-Kongress |
162 |
65 % |
| Zertifizierung |
155 |
62 % |
| Viren-Hotline |
138 |
55 % |
| Beratung |
124 |
50 % |
| kryptographische Grundlagenarbeit |
117 |
47 % |
| Evaluierung |
95 |
38 % |
| Akkreditierung |
80 |
32 % |
| Infobörse zur Mitarbeiterschulung |
66 |
26 % |
Dass über 60 Prozent der Befragten
Zertifizierungsdienste des BSI
kennen, dürfte in erster Linie auf die Tätigkeiten im
Bereich der Produkt-Zertifizierung zurückzuführen sein.
Die IT-Sicherheit wird seit Jahren stark durch internationale
Kriterien bestimmt. Der Bekanntheitsgrad der ITSEC, der Common
Criteria (CC) und der BS 7799 / ISO-IEC 17799 ist durchaus
nicht schlecht zu nennen, obwohl sich eine hohe Zahl der Befragten
damit bisher noch nicht ernsthaft befasst hat.
![[% befasst mit Kriterienwerk (unbekannt für %):
46% ITSEC (13%),
40% Common Criteria (19%),
33% BS 7799 (20%)]](16-11-341.gif)
Bekanntheit internationaler Kriterien zur
Informationssicherheit
34 Prozent der Befragten setzen zertifizierte
Sicherheitsprodukte ein; 23 Prozent geben an, in Zukunft
zertifizierte Produkte bevorzugt einsetzen zu wollen. Die
Erwartungen an den Nutzen und die Zuverlässigkeit haben sich
bei den jetzigen Anwendern zertifizierter Produkte in hohem
Maße erfüllt (69 %). Darüber hinaus
rechtfertigt ein zertifiziertes Produkt nach ihrer Meinung auch
einen höheren Preis.
![[66% kein Einsatz zertifizierter Produkte,
23% setzen zertifizierte Produkte ein und sind zufrieden,
11% setzen zertifizierte Produkte ein und sind nicht zufrieden]](16-12-341.gif)
Zertifizierte Sicherheitsprodukte
Prof. Dr. Reinhard Voßbein ist
Geschäftsführer der UIMCert GmbH. Dr. Jörn
Voßbein ist Geschäftsführer der UIMC
Dr. Voßbein GmbH & Co. KG (![[externer Link]](../../../../images/link.gif)
www.uimc.de).
© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 2002/4, Seite 16
Zurück zum
Inhalt 
![[Einhaltung der Maßnahmen prüft:
48% die Revision,
12% externe Sicherheitsberater,
34% die eigene Sicherheitsabteilung,
12% sonstiges,
24% Einhaltung wird nicht geprüft]](16-1.gif)
![[Risikoklassifizierung erfolgt für:
49% einzelne Systeme/Anwendungen,
21% alle Systeme/Anwendungen,
30% überhaupt nicht]](16-2.gif)
![[relevant bei x% (unbekannt für x%):
74% BDSG (15%),
38% KonTraG (25%),
38% TKG/TDDSV/TKÜV (26%),
29% TDG/TDDSG (26%),
23% GDPdU (43%),
17% SigG/SigV (22%)]](16-3.gif)
![[realisiert auf Clients:
95% Passwort,
12% Hardware Token,
3% Chipkarte,
1% biometrische Verfahren]](16-4.gif)
![[Mailverschlüsselung, falls möglich für:
44% sensitive Nachrichten,
13% externe Kommunikation,
4% alle Nachrichten]](16-5.gif)
![[AV-Software bei:
49% von einem Anbieter,
39% von zwei Anbietern,
12% von drei oder mehr Anbietern]](16-6.gif)
![[88% Virenscanner,
77% Prüfsummenprogramme,
57%, isolierte Testumgebung,
15% Online-Virenwächter auf PCs,
37% Sonstiges,
2% keine Vorsorge ]](16-7.gif)
![[sehr wichtig / wichtig sind:
73% / 25% zentrale Überwachung,
64% / 27% plattformübergreifende Benutzerverwaltung,
55% / 38% Alarm- und Eskalationssystem,
40% / 47% Virtual Private Networks,
31% / 53% Intrusion Detection Systems,
33% / 48% Single Sign-on,
30% / 47% Kontrolle von Internet-Missbrauch,
29% / 46% Public Key Infrastructures,
68% / 11% Sonstiges]](16-8.gif)
![[Maßnahmen für längere
Ausfälle auf Mainframes / Unternehmensservern:
61% Versicherung,
46% Cluster/Load-Balancing,
44% Verträge über schnelle Ersatzlieferung,
43% Ausweichräume mit Hardware,
36% Ausweicheräume ohne Hardware, ... ]](16-9.gif)
![[92% Aktionspläne für K-Fall,
86% Aktionspläne für K-Fall
und Söärungen im Tagesbetrieb,
93% IT-Dokumentation (Verantwortung),
96% Allgemeine Dokumentationen,
64% Inventare;
87% Anforderungen nach KonTraG erfüllt]](16-10.gif)
![[% befasst mit Kriterienwerk (unbekannt für %):
46% ITSEC (13%),
40% Common Criteria (19%),
33% BS 7799 (20%)]](16-11.gif)
![[66% kein Einsatz zertifizierter Produkte,
23% setzen zertifizierte Produkte ein und sind zufrieden,
11% setzen zertifizierte Produkte ein und sind nicht zufrieden]](16-12.gif)