Der Einsatz von Informationstechnik durch Terminals, PCs und mobile Endgeräte am Arbeitsplatz hat in den letzten 10 Jahren kräftig an Fahrt gewonnen – die <kes>-Studien konkretisieren diese bekannte Tatsache mit Zahlen: Waren 1996 noch 0,23 lokale IT-Systeme pro Mitarbeiter im Einsatz, so ist seither der Wert – vor allem wohl aufgrund der spürbaren Kostensenkung für IT-Systeme und der zunehmenden Nutzung moderner Kommunikationsdienste (E-Mail, WWW, VoIP etc.) – deutlich gestiegen und liegt 2006 bei nunmehr 0,72 (Tab. 1). Die deutlich gestiegenen Homeoffice-IT-Systeme wurden hierzu nicht berücksichtigt, da dort unklar ist, ob diese von Unternehmen beziehungsweise Behörden oder durch den Mitarbeiter selbst gestellt werden.
Dieser Anstieg ist letztlich auch ein Ausdruck für eine höhere Verletzlichkeit der Institutionen gegenüber informationstechnischen Angriffen, denn IT-Systeme bedürfen nicht nur einer entsprechenden Administration, sondern stellen zugleich potenzielle Angriffsziele dar.
Kenndaten zur IT | 1998 | 2000 | 2002 | 2004 | 2006 |
---|---|---|---|---|---|
Ø Terminals | 485 | 182 | – | – | – |
Ø PCs | 1330 | 1192 | 4626 | 2434 | 2040 |
Ø mobile Endgeräte | – | – | 593 | 381 | 860 |
Ø Telearbeitsplätze | – | – | – | (55) | (293) |
Ø Mitarbeiter | 6585 | 3807 | 8266 | 4600 | 4019 |
Verhältnis IT/Mitarbeiter | 0,28 | 0,36 | 0,63 | 0,61 | 0,72 |
Tabelle 1: Verbreitung eingesetzter Informationstechnik
Während es nach wie vor viele Schäden durch unbeabsichtigte Unfälle gibt, die jedoch allmählich abgemildert werden, sind die konkreten Schäden durch informationstechnische Angriffe letztlich stabil geblieben (Tab. 2) – sofern man den durch ungewöhnlich hohen Malware-Befall deutlich erhöhten Wert von 2004 (s. a. Tab. 3) in der alternativen Zusammenfassung relativiert betrachtet. Allerdings werden nach wie vor nur wenige Notfallkonzepte verifiziert und validiert: in der Regel bei weniger als einem Viertel der Teilnehmer.
Festgestellte Schäden durch | 2002 | 2004 | 2006 |
---|---|---|---|
Unfälle (menschl. bzw. techn. Versagen) | 79 % | 73 % | 70 % |
Angriffe (ungezielt bzw. gezielt) | 43 % | 60 % | 43 % |
Tabelle 2: Schäden durch Unfälle oder Angriffe
Ein Blick in die Formen erlittener informationstechnischer Angriffe mit konkreter Schadenswirkung offenbart fast durchweg einen schleichenden Anstieg bei den einzelnen "Spielarten". Etwaige Imageschäden in Folge erlittener Angriffe lassen sich jedoch bekanntermaßen nur bedingt erfassen und Beeinträchtigungen der Vertraulichkeit werden in der Regel nur mit starker zeitlicher Verzögerung erkannt; dieser Aspekt wurde jedoch erst in der aktuellen Studie näher untersucht. In der Praxis ist zudem leider oft festzustellen, dass der Wert gespeicherter Daten unterschätzt wird, weshalb zum Beispiel der Verlust aller gespeicherten Daten lediglich mit etwas mehr als 2 % gegenüber der mittleren Bilanzsumme eher zurückhaltend bewertet wird.
Formen erlittener Angriffe | 1998 | 2000 | 2002 | 2004 | 2006 |
---|---|---|---|---|---|
Malware (Vir., Würm., Troj.Pf.) | 31 % | 29 % | 25 % | 54 % | 35 % |
unbefugte Kenntnisnahme | 10 % | 11 % | 6 % | 9 % | 12 % |
Hacking | – | – | 8 % | 9 % | 12 % |
Manipulation zur Bereicherung | 2 % | 2 % | 2 % | 8 % | 11 % |
Sabotage (inkl. DoS-Attacken) | 0 % | 2 % | 2 % | 8 % | 10 % |
Tabelle 3: Entwicklung informationstechnischer Angriffe
Die angegebene Entwicklung der informationstechnischen Angriffe über das Internet zeigt, dass kontinuierlich mehr Angriffe registriert werden und Unternehmen sowie Behörden in stärkerem Maße an ihrer verwundbarsten Stelle treffen: der Verfügbarkeit ihrer IT-Systeme (Tab. 4). Doch auch die Verletzung der Vertraulichkeit ist deutlich spürbar – etwa durch unbefugtes Lesen von Daten oder das Abhören von Verbindungsdaten. Die Folgen eines geglückten Hacking-Angriffs wurden bisher (alleine schon aufgrund der hohen Variabilität) nicht näher aufgelistet und die aussagekräftige Frage aus der aktuellen Erhebung bedauerlicherweise gestrichen.
Festgestellte Angriffe via Internet | 1998 | 2000 | 2002 | 2004 |
---|---|---|---|---|
Hacking des Rechners | 16 % | 21 % | 43 % | 40 % |
Beeinträchtigung der Verfügbarkeit | 5 % | 8 % | 29 % | 27 % |
unbefugtes Lesen von Daten | 14 % | 15 % | 19 % | 23 % |
Veränderung von Daten | 5 % | 6 % | 7 % | 11 % |
Abhören von Verbindungsdaten | 4 % | 6 % | 9 % | 9 % |
kein Angriff registriert | 61 % | 59 % | 57 % | 45 % |
Tabelle 4: Informationstechnische Angriffe über das Internet
Die Teilnehmer an den <kes>-Sicherheitsstudien werden stets darum gebeten, vordefinierte Gefahrenbereiche in ihrer konkreten Bedeutung zu bewerten und eine Prognose über ihre Entwicklung abzugeben. Diese Frage stellt damit ein maßgeschneidertes Instrument für die gefühlte Sicherheitslage dar.
Bei der prognostizierten Rangfolge der Gefahrenbereiche werden Gefahren für die Safety in der Regel unterschätzt (Schutz vor unbeabsichtigten Ereignissen – in Tabelle 5 bis zur höheren Gewalt), Gefahren für die Security dagegen überwiegend überschätzt (Schutz vor beabsichtigten Angriffen), wie ein Vergleich zwischen der artikulierten Erwartungshaltung und der tatsächlichen Einschätzung ihrer Bedeutung in der Folgestudie zeigt (Tab. 5). Das ist nicht verwunderlich, denn Angreifer befinden sich im Vorteil: Sie müssen lediglich eine einzige offene Schwachstelle finden und dort gezielt angreifen, während sich der Verteidiger (Unternehmen oder Behörde) auf eine Vielzahl verschiedener Angriffsmöglichkeiten einstellen muss – insofern ist die Überschätzung der Angreifer konsequent.
Rang (Erwartung → Bedeutung) | 1998/2000 | 2000/2002 | 2002/2004 | 2004/2006 |
---|---|---|---|---|
Gefahrenbereich | ||||
Fehler eigener Mitarbeiter | 2 → 1 | 2 → 1 | 2 → 1 | 2 → 1 |
Fehler durch Externe | 8 → 8 | 7 → 10 | 4 → 7 | 9 → 6 |
Software-bedingte Defekte | 3 → 3 | 3 → 3 | 3 → 4 | 5 → 3 |
Hardware-bedingte Defekte | 7 → 4 | 10 → 6 | 10 → 6 | 8 → 4 |
Dokumentations-bed. Defekte | 6 → 7 | 5 → 9 | 8 → 10 | 10 → 8 |
höhere Gewalt | 8 → 6 | 8 → 7 | 11 → 8 | 11 → 10 |
Malware (Vir., Würm., Troj.Pf.) | 1 → 2 | 1 → 2 | 1 → 2 | 1 → 2 |
unbefugte Kenntnisnahme | 4 → 5 | 4 → 4 | 5 → 3 | 4 → 5 |
Hacking | – | –- → 5 | 6 → 5 | 3 → 7 |
Manipulation zur Bereicherung | 5 → 9 | 6 → 8 | 9 → 9 | 7 → 9 |
Sabotage (inkl. DoS-Attacken) | 10 → 10 | 9 → 11 | 7 → 11 | 6 → 11 |
Tabelle 5: Ranking der Gefahrenbereiche
Die <kes>-Sicherheitsstudien offenbaren regelmäßig ein Defizit beim Sicherheitsbewusstsein in den teilnehmenden Institutionen. Bei der Frage, welche Gründe bei der Umsetzung von Informationssicherheit hinderlich waren, landete regelmäßig – neben fehlendem Geld – fehlendes Bewusstsein an vorderster Stelle (Tab. 6). Doch gerade das Sicherheitsbewusstsein ist der Dreh- und Angelpunkt bei der Gewährleistung der Informationssicherheit!
Keine Verbesserung der IT-Sicherheit wg. | 1998 | 2000 | 2002 | 2004 | 2006 |
---|---|---|---|---|---|
Geldmangel | 40 % | 31 % | 46 % | 62 % | 55 % |
Bewusstsein bei Mitarbeitern | 55 % | 60 % | 65 % | 51 % | 52 % |
Bewusstsein Top-Managment | 50 % | 51 % | 50 % | 45 % | 45 % |
Bewusstsein mittl. Managem. | 45 % | 38 % | 61 % | 42 % | 37 % |
Tabelle 6: Mängel beim Sicherheitsbewusstsein
Das erforderliche Sicherheitsbewusstsein lässt sich durch Schulungen und Awareness-Maßnahmen erhöhen. Doch auch hier ist ein klares Defizit messbar: So bekommen zwar Spezialisten, die Kontrollen durchführen, regelmäßig eine entsprechende Auffrischung ihres Wissens, doch die Hauptanwender (Benutzer und Management) erhalten nur gelegentlich eine entsprechende Schulung (Tab. 7) – aus den Erfahrungen der Praxis heraus üblicherweise zum Beispiel bei Neueinführung eines IT-Systems oder bei Vorliegen eines gravierenden Sicherheitsvorfalls (nachsorgende Schulung).
Da Schulungen ein Unternehmen Geld kosten (mindestens in Form "unproduktiver" Zeiten), wird an dieser Stelle gerne gespart, zumal ohnehin oft nicht genügend Geld für Sicherheit zur Verfügung steht. Gerade im Bereich der IT-Sicherheit sind jedoch regelmäßige Auffrischungen schon alleine aufgrund der technischen Fortentwicklung nötig und lohnen sich letztlich auch.
regelmäßig Schulung erhalten | 1998 | 2000 | 2002 | 2004 | 2006 |
---|---|---|---|---|---|
IT-Sicherheitsbeauftragte | 20 % | 17 % | 50 % | 71 % | 59 % |
Datenschutzbeauftragte | 27 % | 30 % | 42 % | 65 % | 55 % |
IT-Mitarbeiter | 23 % | 31 % | 34 % | 45 % | 40 % |
Revisoren bzw. Prüfer | 15 % | 18 % | 20 % | 43 % | 32 % |
Benutzer | 13 % | 20 % | 13 % | 23 % | 24 % |
Management | 6 % | 11 % | 12 % | 19 % | 16 % |
Tabelle 7: Regelmäßige Schulung zur Informationssicherheit
Der Kenntnisstand zur Informationssicherheit wird auf einer Skala von 1 für "sehr gut" bis 5 für "nicht ausreichend" im Schnitt mit (immerhin) befriedigenden Werten beurteilt, wobei Fachkräfte, die im Bereich der Informationssicherheit oder in hochsensitiven Bereichen tätig sind, besser abschneiden (Tab. 8). Andererseits zeigen aber auch diese Werte, dass es unbedingten Schulungsbedarf auf allen Ebenen gibt (auch zur Förderung des Sicherheitsbewusstseins).
Kenntnisstand zur Informationssicherheit | 2002 | 2004 | 2006 |
---|---|---|---|
IT-Sicherheits-Fachleute | 1,91 | 1,65 | 1,82 |
Anwender in hochsensitiven Bereichen | 2,45 | 2,29 | 2,44 |
Top-Management | 3,12 | 2,87 | 2,87 |
Mittleres Management | 3,18 | 2,89 | 3,13 |
Anwender in weniger sensitiven Bereichen | 3,53 | 3,23 | 3,38 |
Tabelle 8: Bewertung des Kenntnisstandes zur Informationssicherheit
Gut ein Drittel der Teilnehmer attestieren ihrem Top-Management, die Informationssicherheit als "lästiges Übel" zu bewerten (Tab. 9). Zwar ist Informationssicherheit selten Selbstzweck, doch zeigt sich auch hier nochmals deutlich, dass das nötige Sicherheitsbewusstsein meist erst durch entsprechende Vorfälle geschärft wird – doch dann ist es zu spät.
Stellenwert | 2000 | 2002 | 2004 | 2006 |
---|---|---|---|---|
vorrangiges Ziel der IV | 23 % | 20 % | 30 % | 20 % |
gleichrangiges Ziel der IV | 46 % | 50 % | 31 % | 32 % |
eher "lästiges Übel" | 30 % | 29 % | 30 % | 34 % |
Mehrwert für andere Bereiche | – | – | 9 % | 14 % |
Tabelle 9: Stellenwert der Informationssicherheit
Viele anfallende Tätigkeiten werden letztlich durch Dritte erbracht, da sich Institutionen außerstande sehen, die zugrunde liegenden Anforderungen mit einem akzeptablen Kosten-/Nutzenverhältnis selbst zu erfüllen oder weil externe Anbieter aufgrund ihrer Spezialisierung über vielversprechende Vorteile verfügen und sich daher zur Übernahme wichtiger Funktionen (hier nur auszugsweise abgedruckt) anbieten (Tab. 10). Der Anteil der Unternehmen und Behörden, die Outsourcing-Leistungen beziehen, liegt in den letzten Jahren konstant bei über 50 %.
Klassische Tätigkeiten wie Datenträgervernichtung oder die Pflege von Datenbank- und Betriebssystemen sind inzwischen rückläufig – vermutlich vor allem aufgrund funktionaler Verbesserungen und deutlicher Kostensenkungen der entsprechenden Programmpakete sowie der allgemeinen informationstechnischen Entwicklung. Andererseits werden tendenziell verstärkt Outsourcing-Leistungen zur Netzwerksicherheit bezogen. Diese Entwicklung ist aufgrund der bereits dargestellten Verletzlichkeit der Institutionen sowie teilweise fehlenden Spezial-Know-hows keineswegs verwunderlich oder falsch. Die Kehrseite der Medaille ist jedoch eine deutliche Zunahme der Fehleranfälligkeit gegenüber externen Mitarbeitern (Tab. 11).
Outsourcing | 1998 | 2000 | 2002 | 2004 | 2006 |
---|---|---|---|---|---|
Anteil | 36 % | 46 % | 73 % | 52 % | 56 % |
Datenträgervernichtung | 59 % | 59 % | 72 % | 63 % | 61 % |
Netzwerk-Management | 26 % | 33 % | 37 % | 28 % | 35 % |
Managed Firewall/IDS/IPS | – | – | 48 % | 32 % | 34 % |
Online-Anwendungssysteme | 21 % | 22 % | 40 % | 21 % | 27 % |
Betriebssystempflege | 25 % | 21 % | 32 % | 29 % | 18 % |
Datenbank-Systeme/-Werkzeuge | 29 % | 26 % | 33 % | 23 % | 18 % |
Datensicherung, Backup | 19 % | 17 % | 29 % | 26 % | 17 % |
Tabelle 10: Nutzungsgrad von Outsourcing
Ursachen der Beeinträchtigung | 1998 | 2000 | 2002 | 2004 | 2006 |
---|---|---|---|---|---|
Fehler eigener Mitarbeiter | 49 % | 52 % | 30 % | 51 % | 49 % |
Fehler durch Externe | 7 % | 6 % | 9 % | 15 % | 30 % |
Tabelle 11: Fehlerursachen intern versus extern
Gerade im Bereich der Informationssicherheit sind meist langjährige Erfahrungswerte nötig, um die Vielschichtigkeit der IT angemessen durchdringen zu können, sodass auch der Bedarf für externe Beratung hoch ist (Tab. 12). Der Grad uneingeschränkter Zufriedenheit mit derartigen Dienstleistungen ist jedoch 2006 dramatisch gefallen und gleichzeitig zum ersten Mal der Grad ausdrücklich angegebener Unzufriedenheit merklich angestiegen. Leider kann die aktuelle Studie hierzu keine Gründe liefern, sodass hierzu nur spekuliert werden kann – mögliche Ursachen der schlechteren Bewertung könnten sein:
Externe Sicherheitsberatung | 1998 | 2000 | 2002 | 2004 | 2006 |
---|---|---|---|---|---|
Nutzung von Beratungsleistung | 44 % | 50 % | 59 % | 59 % | 55 % |
Volle Zufriedenheit mit Beratung | 36 % | 34 % | 49 % | 51 % | 32 % |
Unzufriedenzeit mit Beratung | 4 % | 2 % | 3 % | 3 % | 6 % |
Tabelle 12: Grad externer Sicherheitsberatung
Dieser Artikel beleuchtet detailliert lediglich die drei erörterten zentralen Trends aus den letzten <kes>-Sicherheitsstudien ([1] bis [5]). Dabei wurde bewusst nur auf Datenmaterial zurückgegriffen, das über wenigstens drei Studien hinweg erhoben wurde. Einige weitere bemerkenswerte Resultate sind:
Insgesamt spiegeln die <kes>-Sicherheitsstudien einen guten Einblick in den gelebten Stand der Technik wider. Für diese Betrachtung wurde auf eine ausführliche Auswertung der Rohdaten verzichtet, auch wenn dadurch nicht alle Querbezüge und Korrelationen aufbereitet werden konnten. Für die obige Sonderauswertung der Studien von 1998 bis 2006 ist ferner zu bedenken, dass die Fragebogen von einem unterschiedlichen Teilnehmerkreis (mit uneinheitlicher Rücklaufquote) ausgefüllt wurden, sodass die Vergleichbarkeit der Daten grundsätzlich mit einer gewissen Vorsicht zu genießen ist. Grundsätzlich kann es gravierende Schwankungsbreiten in einzelnen Jahren aufgrund des konkreten Teilnehmerkreises geben. Insofern lassen sich allenfalls einzelne Trends ablesen.
Eine Einordnung der Ergebnisse in umfassende Sichtweisen erfolgt in [6]. Die letzte zusammenfassende Darstellung über die <kes>-Sicherheitsstudien von 1985/86 bis 1996 findet sich in [7]; da dort jedoch nicht alle Fragebögenaspekte aufbereitet wurden, die hier betrachtet wurden, wurde auf eine entsprechende Darstellung über 20 Jahre verzichtet.
Diplom-Informatiker Bernhard C. Witt ist geprüfter fachkundiger Datenschutzbeauftragter, Berater für Datenschutz und IT-Sicherheit bei der it.sec GmbH & Co. KG und Lehrbeauftragter an der Universität Ulm.
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2006#6, Seite 55