![[ Aufmachergrafik: heller, corporate design ]](04-4-006-0.jpg)
Lagebericht zur Informations-Sicherheit (1)Lagebericht zur Informations-Sicherheit (1)Die <kes>/Microsoft-Sicherheitsstudie ist die zehnte <kes>-Studie, die durch die vertrauensvollen und umfassenden Antworten ihrer Teilnehmer sowie die Unterstützung von Sponsoren und Partnern tiefe Einblicke in die Informations-Sicherheit (ISi) des deutschsprachigen Raums ermöglicht – dafür vielmals Dankeschön. In diesem Jahr sind 163 Fragebögen eingegangen. Die wichtigsten Kernpunkte des ersten Teils der Auswertung lauten:
----------Anfang Textkasten----------
Die folgenden Unternehmen fördern die Durchführung unserer aktuellen Sicherheitsstudie:
![[Logos: Microsoft, Aladdin, CLEARSWIFT, DIM, entrada, GROUP Technologies, INFO AG, Lampertz, NOKIA, Paket Alarm, ROG, »|secaron, SOLSOFT, SOPHOS, T-Systems, UIMC]](sponsoren2004.jpg)
Für zusätzliche Anregungen und Hinweise bedanken wir uns beim Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie bei der Hans-Joachim Gaebert Unternehmensberatung. Weiterhin gilt unser Dank allen Teilnehmern an der Befragung, die durch ihre wertvolle Mitarbeit ein sinnvolles Gesamtbild entstehen ließen.
Die Auswertung der <kes>/Microsoft-Sicherheitsstudie erfolgte mit dem interaktiven Analysewerkezeug InfoZoom von ![[externer Link]](../../../images/link.gif)
humanIT.
----------Ende Textkasten----------
Vermutlich die zentrale Frage der Studie steht regelmäßig an erster Position von Fragebogen und Auswertung: die Bedeutung der verschiedenen Gefahrenbereiche zur Risikoklassifizierung. Seit Beginn der <kes>-Studien nennen die Teilnehmer hier allem voran "Irrtum und Nachlässigkeit eigener Mitarbeiter" – so auch in diesem Jahr. Weiterhin folgen knapp dahinter als Gefahrenbereich mit der zweitgrößten Bedeutung Viren, Würmer und Trojanische Pferde (Malware), mit etwa demselben "Abstand" wie in der vorausgegangenen Studie von 2002. Beides sind gleichzeitig die Risiken, denen mit jeweils über 80 % die weitaus meisten Befragten mindestens einen von sechs möglichen Prioritätspunkten zugestanden haben – bei den Plätzen drei bis fünf waren das jeweils 40–50 %. Durch die Kumulation von bis zu drei Punkten pro Gefahrenbereich konnten die Teilnehmer zudem Schwerpunkte bekunden (Priorität s. Tab. 1).
| Gefahrenbereich | Bedeutung heute | Prognose | Schäden | |||
|---|---|---|---|---|---|---|
| Rang | Priorität | Rang | Priorität | Rang | ja, bei | |
| Irrtum und Nachlässigkeit eigener Mitarbeiter | 1 | 1,50 | 2 | 1,70 | 2 | 51 % |
| Malware (Viren, Würmer, Troj. Pferde,...) | 2 | 1,34 | 1 | 2,80 | 1 | 54 % |
| unbefugte Kenntnisnahme, Informationsdiebstahl, Wirtschaftsspionage | 3 | 0,60 | 4 | 1,14 | 8 | 9 % |
| Software-Mängel/-Defekte | 4 | 0,57 | 5 | 0,96 | 3 | 43 % |
| Hacking (Vandalismus, Probing, Missbrauch,...) | 5 | 0,48 | 3 | 1,26 | 5 | 19 % |
| Hardware-Mängel/-Defekte | 6 | 0,40 | 8 | 0,32 | 4 | 38 % |
| unbeabsichtigte Fehler von Externen | 7 | 0,30 | 9 | 0,26 | 7 | 15 % |
| höhere Gewalt (Feuer, Wasser,...) | 8 | 0,24 | 11 | 0,04 | 9 | 8 % |
| Manipulation zum Zweck der Bereicherung | 9 | 0,17 | 7 | 0,43 | 10 | 8 % |
| Mängel der Dokumentation | 10 | 0,15 | 10 | 0,20 | 6 | 17 % |
| Sabotage (inkl. DoS) | 11 | 0,12 | 6 | 0,55 | 11 | 8 % |
| Sonstiges | 12 | 0,03 | 12 | 0,00 | 12 | 3 % |
Tabelle 1: Bedeutung der verschiedenen Gefahrenbereiche
Basis: 161 Antworten (Bedeutung), Ø 124 (Prognose), Ø 128 (Schäden)
Auch sonst blieb die Rangfolge mit einer Ausnahme stabil (Platz 3 und 4 sind zwar vertauscht, liegen jedoch nahezu gleichauf, sodass hier noch keine Trendwende zu folgern ist). Auffällig ist jedoch der Sprung der "unbeabsichtigten Fehler von Externen" von Rang 10 auf Rang 7. Hier scheint sich die Prognose der vorigen Studie ansatzweise bestätigt zu haben, die eine drastische Bedeutungs-Steigerung dieses Gefahrenbereichs vorhergesagt hatte (prognostiziert war sogar Rang 4). In der aktuellen Einschätzung nicht wiederzufinden sind hingegen die Prognosen sinkender Probleme mit der Hardware (Prognose 2002: fallend von Rang 6 auf Rang 10) sowie steigender Bedeutung von Sabotage (steigend von Rang 11 auf Rang 7) – beide Risiken erzielten jeweils dieselbe Einschätzung wie vor zwei Jahren.
Die diesjährigen Prognosen stimmen großenteils mit den erwarteten Trends von 2002 überein: deutlich mehr Malware-Probleme und eine Zunahme von Hacking und Spionage, weniger Probleme mit Hardware und höherer Gewalt. Neu ist, dass die Teilnehmer eine deutlich höhere Steigerung bei Sabotage und Manipulationen zum Zwecke der Bereicherung erwarten. Treffen diese Erwartungen ein, so würden beide um mehrere Rangstufen klettern – die Sabotage "profitiert" zudem erneut von dem erwarteten Nachgeben anderer Bereiche, sodass sie sogar um fünf Plätze aufsteigen würde (2002 korrespondierte der erwartete Aufstieg um vier Ränge hingegen kaum mit dem damaligen Veränderungswert von +0,08). Ebenfalls neu ist ein leichter erwarteter Rückgang der (gerade erst deutlich gestiegenen) Bewertung unbeabsichtigter Fehler von Externen.
![[ Malware +1,47, Hacking +0,78, Spionage +0,56, Sabotage +0,42, Software-Mängel/-Defekte +0,39, ... Hardware-Mängel/-Defekte -0,08, höhere Gewalt -0,20 ]](04-4-006-1.gif)
Abbildung 1: Prognostizierte Veränderungen der Gefahrenbereiche
Basis: Ø 124 Antworten
Richtet man den Blick auf die Gefahrenbereiche, die in den vergangenen zwei Jahren tatsächlich zu mittleren bis größeren Beeinträchtigungen geführt haben, so zeigen sich drei Auffälligkeiten. Allem voran hat diese "Schadensstatistik" den immer wieder vorhergesagten Anstieg der Malware-Bedeutung auf Rang 1 bereits vorweggenommen: Erstmals haben hier mit 54 % mehr Befragte einen tatsächlichen Schaden angegeben als bezüglich Irrtum und Nachlässigkeit eigener Mitarbeiter (51 %) – 2002 lag diese höchstrangige Bedrohung auch bei den Schadensmeldungen noch fünf Prozentpunkte vor der Malware.
Deutlich abweichend von ihrem Rang in der Bedrohungseinschätzung liegen Spionage (unbefugte Kenntnisnahme, Informationsdiebstahl, Wirtschaftsspionage usw.) und Mängel an der (technischen) Dokumentation: Spionage (Rang 3 in der Bedrohung) hat nur bei 9 % der Antwortenden tatsächlich nennenswerte Beeinträchtigungen bewirkt (Rang 8 der Schadensstatistik). Ob hieraus eine Überschätzung des Risikos gefolgert werden darf, ist allerdings fraglich: Einerseits steht gerade bei dieser Gefahr eine enorme Dunkelziffer zu befürchten, zum anderen könnte die erhöhte Aufmerksamkeit auch gerade zu einem Ausbleiben von Schäden geführt haben.
Vermutlich unterschätzt zeigt sich hingegen das Risiko von Dokumentationsmängeln: Während ihm im Bedrohungsindex ein stabiler 10. Rang eingeräumt wird, landet es in der Schadensstatistik auf Rang 6 (mittlere bis größere Beeinträchtigungen bei immerhin 17 % der Antwortenden). Auch hier ist zudem – wie bei Sabotage und betrügerischen Manipulationen – eine hohe Dunkelziffer im Spiel: In all diesen Bereichen konnte jeweils mehr als ein Viertel der Teilnehmer keine klare Aussage zu tatsächlichen Beeinträchtigungen treffen.
| Gefahrenklassen | Priorität | Schäden | |
|---|---|---|---|
| min. 1 bei | Nennungen | ||
| Unfälle | 2,91 | 73 % | 229 |
| ... menschliches Versagen | 1,80 | 54 % | 98 |
| ... technisches Versagen | 1,12 | 57 % | 131 |
| Angriffe | 2,70 | 60 % | 138 |
| ... ungezielt (Malware) | 1,34 | 54 % | 82 |
| ... gezielt (Hacker, Sabotage, Spionage usw.) | 1,37 | 25 % | 56 |
Tabelle 2: Alternative Zusammenfassung der Gefahrenbereiche
Basis: siehe Tabelle 1
Fasst man die verschiedenen Risikogruppen alternativ in die Kategorien (Daten-)Unfälle (ohne höhere Gewalt) und Angriffe zusammen, so zeigt sich, dass die Unfälle weiterhin die größere Bedeutung haben. Allerdings ist der Abstand geschrumpft: 2002 lag das Verhältnis – bezogen auf die Nennungen von mindestens einer wesentlichen Beeinträchtigung ("Schaden") in den jeweiligen Kategorien – noch bei 1,78:1 (Unfallopfer:Angriffsopfer), heuer sind es nur noch 1,66:1. Zudem hat bei den kumulierten Unfall-Ursachen technisches Versagen den Menschen als Hauptgrund abgelöst: einerseits durch eine erhöhte Nennung von Beeinträchtigungen durch Dokumentations-Mängel und zum anderen durch (im Verhältnis zur Stichprobe) weniger Schadensfällen aufgrund von Fehlern und Irrtümern (vgl. Tab. 2).
![[ Hacking 40%, Beeinträchtigung der Verfügbarkeit 27%, unbefugter Zugriff 23%, unbefugte Änderungen 11%, Abhören von Verbindungen 9%; nichts davon 45% ]](04-4-006-2.gif)
Abbildung 2: Über das Internet wurde bereits versucht ...
Basis: 150 Antworten
Die These der vergleichsweise geringen Zahl gezielter Attacken belegen auch die Angaben der Teilnehmer zu den Fragen nach Angriffen aus dem Internet und auf Webserver. Etliche Unternehmen blieben weiterhin unbehelligt: 45 % haben noch gar keinen der genannten Angriffe aus dem Internet registriert (vgl. Abb. 2), bei 56 % der Teilnehmer gab es noch keine Angriffe auf den Web-Server (s. Tab. 3). Die Top-Attacken waren Hacking-Versuche (von denen aber auch immer noch 60 % der Teilnehmer bislang komplett verschont blieben) und Denial-of-Service-Angriffe, denen sich etwa jeder Vierte irgendwann einmal ausgesetzt sah. Erstaunlicherweise steigen diese Zahlen nicht, obwohl doch mit den Jahren die "Online-Zeitspanne" und damit die Dauer der Exponiertheit gewachsen sein müssten.
| Wurde bereits versucht,
auf dem Web-Server ...? |
ja, bei |
|---|---|
| Seiten zu verändern (Vandalismus) | 22 % |
| Daten auszuspionieren | 17 % |
| Daten zu löschen | 9 % |
| Daten in betrügerischer Absicht zu manipulieren | 7 % |
| Angebote lahmzulegen (Denial of Service) | 27 % |
| nichts von alledem | 56 % |
Tabelle 3: Angriffe auf Web-Server
Basis: 124 Antworten
Bei der Frage nach dem größten Schadensereignis der letzten zwei Jahre dominiert wieder die Malware: Von den einhundert Antworten auf diese Freitextfrage entfielen 34 % auf Viren und Würmer, an zweiter Stelle folgten 13 % Ausfälle bei Speichersystemen (Festplattencrashs, RAID-Versagen, SAN-Probleme usw.). Bei 7 % der antwortenden Unternehmen verursachte die Stromversorgung (Ausfall oder Überspannung) den größten Ärger der letzten zwei Jahre, bei 5 % handelte es sich um Server-Ausfälle, bei 4 % um Angriffe. Zu den Schadenssummen haben nur 60 Teilnehmer Angaben gemacht: der "durchschnittliche größte Vorfall" verursachte demzufolge gut 50 000 € direkte Kosten (max. 1 Mio. €) und knapp 7 500 € Rekonstruktionsaufwand (max. 100 000 €).
Generell ist die Zahl der Unternehmen, die Virenvorfälle zu verzeichnen hatten, im Vergleich zur vorigen Studie um 14 Prozentpunkte gestiegen: 88 % der Teilnehmer waren in mindestens einer Malware-Kategorie betroffen. Spitzenreiter waren dabei klar die Würmer (84 %), gefolgt von File-Viren (64 %). Mit Boot-Viren hatte hingegen nur noch jedes vierte der befragten Unternehmen zu kämpfen; dies ist gleichzeitig die einzige Kategorie, bei der sich steigende und sinkende Vorfallszahlen in etwa die Waage hielten (vgl. Tab. 4).
| Malware-Art | Vorfälle | Tendenz | |
|---|---|---|---|
| ja, bei | gestiegen bei | gesunken bei | |
| File-Viren | 64 % | 77 % | 23 % |
| Boot-Viren | 24 % | 51 % | 49 % |
| Makro-Viren | 51 % | 71 % | 29 % |
| Würmer | 84 % | 91 % | 9 % |
| Troj. Pferde / Backdoors | 57 % | 83 % | 17 % |
Tabelle 4: Malware-Vorfälle
Basis: Ø 143 Antworten (Vorfälle), Ø 74 (Trends)
Haupteinfallstor für Malware aller Art ist mittlerweile ganz klar die E-Mail (insgesamt 311 Nennungen); Downloads aus dem Internet landen auf einem etwas abgeschlagenen zweiten Platz (109 Nennungen). Doch auch der klassische Weg über Datenträger stellt immer noch eine Bedrohung dar: Mit 76 Nennungen sind Disketten, CD-ROMs und Ähnliches noch immer "erfolgreicher" als die automatische Verbreitung von Würmern über Internet (66 Nennungen) oder LAN (52 Nennungen). Durchschnittlich zehn Prozent der Teilnehmer haben zudem Infektionen aus unbekannter Quelle angegeben.
![[ Blaster/Lovsan 39%, Sobig.F 28%, Slammer/SQLExp 17%, Bugbear 12%, Klez 7% ]](04-4-006-3.gif)
Abbildung 3: Nennenswerte Beeinträchtigung durch "Top-5"-Malware
Basis: Ø 127 Antworten
Bei der Frage nach nennenswerten Beeinträchtigungen durch die "Top 5" der Malware hat vor allem Blaster/Lovsan zugeschlagen; 39 % der antwortenden Teilnehmer hatten damit Probleme. Und dort wo Blaster landen konnte, tat er dies oft besonders heftig: Zwölf Unternehmen nannten den Wurm explizit als größten Schadensstifter der vergangenen zwei Jahre (Top-5-Frage: 51 Nennungen). Im Schnitt musste jeder Teilnehmer an der Studie 37 Malware-Infektionen pro Jahr bekämpfen – selbst unter Ausschluss der Maximalangabe von sage und schreibe 2 500 Infektionen bleiben noch 10 Vorfälle pro Unternehmen und Jahr. Hinzu kommen durchschnittlich 9 technische Fehlalarme und 8 unbegründete Warnungen, so genannte Hoaxes – berücksichtigt man hier auch die beiden Ausreißerwerte von je eintausend Hoaxes, so sind im Schnitt sogar 41 solche Störungen pro Jahr zu bearbeiten.
Als Trost bleibt, dass die geschätzten Kosten für Fehlalarme und Hoaxes mit 1 817 € beziehungsweise 1 270 € deutlich unter den vor zwei Jahren genannten Werten liegen (2002: 8 173 € bzw. 9 621 €). Die Beseitigung wirklicher Viren und Würmer bleibt aber eine teure Angelegenheit: Im Mittel veranschlagen die Befragten hierfür 25 954 € pro Vorfall (2002: 26 228 €). Die mittlere Ausfallzeit bleibt jedoch mit nunmehr 54 Stunden deutlich unter dem Schätzwert der vorigen Studie (2002: 94 Std.; vgl. Tab. 5).
| Vorfall | Ausfallzeit [Std.] | Kosten [€] | ||
|---|---|---|---|---|
| Mittelwert | Maximum | Mittelwert | Maximum | |
| Virus-/Wurm-Infektion | 54,54 | 1 200 | 25 954 | 500 000 |
| Fehlalarm (unbegründete Fehlermeldung) | 5,66 | 60 | 1 817 | 30 000 |
| Hoax (unbegründete Warnung) | 10,1 | 100 | 1 270 | 10 000 |
Tabelle 5: Aufwand durch Malware-Infektion/-Fehlalarm
Basis: Ø 76 Antworten (Infektion), Ø 41 (Fehlalarm)
Die allgemeine Selbsteinschätzung zum Stand der Informations-Sicherheit in den befragten Unternehmen entspricht den langjährigen Erfahrungen: Je "näher" ein Infrastrukturelement an der zentralen Administration sitzt, umso besser ist die generelle Sicherheitslage. Im Rechenzentrum sehen erneut 75 % der Teilnehmer die Sicherheit als sehr gut oder gut an, bei den Servern verlagert sich diese fest umrissene Gruppe zu gut/befriedigend, bei den Endgeräten gibt die Durchschnittsbewertung bei den PCs und mobilen Geräten jeweils um eine halbe Note nach. Ähnlich schlecht wie Heimarbeitsplätze und Notebooks bewerten die Teilnehmer WLANs: Auch hier ist fast die Hälfte der Meinung, die Sicherheit sei gerade noch oder noch nicht einmal ausreichend (vgl. Abb. 4).
![[ Durchschnittsnoten: Rechenzentrum/Mainframe 2,15, Server 2,38, Clients/PCs 2,86, Teleworking-PCs 3,32 mob Endegeräte 3,45, -------------------------------- IT-Netz (verkabelt) 2,46, IT-Netz (drahtlos) 3,41, TK-Netz 2,71 ]](04-4-006-4.gif)
Abbildung 4: Einschätzung der Sicherheit
Basis: Ø 131 Antworten
![[ IT-Sicherheit ist... ein Mehrwert 8%, ein vorrangiges Ziel 30%, ein gleichrangiges Ziel 31%, eher 'lästiges Übel' 30% ]](04-4-006-5.gif)
Abbildung 5: Stellenwert der Informations-Sicherheit beim Top-Management
Basis: 153 Antworten
In Bezug auf den Stellenwert, den die Informations-Sicherheit beim Top-Management einnimmt (Abb 5), ist in diesem Jahr ein erfreulicher Anstieg der "Befürworter" zu erkennen: Die Gruppe derer, die in der ISi ein vorrangiges Ziel oder sogar einen Mehrwert erkennen, ist sprunghaft auf 38 % gestiegen (2002: 20 %). Allerdings ist auch bei denjenigen, die ISi eher als ein "lästiges Übel" ansehen, erstmals wieder ein – wenn auch leichter – Anstieg um einen Prozentpunkt festzustellen. Ob es sich hierbei um eine statistische Schwankung handelt oder sich eine Polarisierung der Lager abzeichnet, wird man weiter beobachten müssen. Bei den kleineren und mittleren Unternehmen (KMU) könnte sich das stärker andeuten: Dort sind durch 46 % "vorrangig oder Mehrwert"-Nennungen und andererseits 32 % "lästigen Übeln" die Extrempositionen stärker vertreten. Weniger "Bewegung aus der Mitte heraus" ist bei den Unternehmen mit mehr als 500 Mitarbeitern zu erkennen: 28 % Befürworter stehen hier 42 % "Gleichrangigkeits-Unterstützern", aber auch nur 29 % eher ablehnender Haltung gegenüber .
Die Probleme, welche die Teilnehmer am meisten bei der Verbesserung der Informations-Sicherheit behindern, wurden in den vorigen Studien regelmäßig von mangelndem Bewusstsein der Mitarbeiter und Manager angeführt. Dieses Jahr ist hingegen zu wenig Geld erstmals als Haupthindernis angegeben worden: Fast zwei Drittel (62 %) der Teilnehmer klagten über Behinderung durch finanzielle Beschränkung (vgl. Tab. 6). Damit ist dieses Problemfeld erneut um 16 Prozentpunkte in der Bedeutung gestiegen, nachdem es bereits von 2000 auf 2002 um 15 Prozentpunkte zugelegt hatte. Positiv zeigte sich hingegen die Entwicklung der "Awareness": Das mangelnde Bewusstsein bei den Mitarbeitern und Managern wurde von deutlich weniger Teilnehmern beklagt, belegt aber immer noch die Problem-Ränge zwei bis vier. Da eine beliebige Zahl von Mehrfachnennungen zulässig war, ist nicht zu erwarten, dass sich lediglich ein Verdrängungseffekt durch die Geldnot zeigte. Nach wie vor haben die Befragten im Mittel 4–5 Probleme als "meist behindernd" angegeben.
| Bei der Verbesserung der Informations-Sicherheit behindern am meisten ... (Mehrfachnennungen möglich) | genannt von |
|---|---|
| Es fehlt an Geld | 62 % |
| Es fehlt an Bewusstsein bei den Mitarbeitern | 51 % |
| Es fehlt an Bewusstsein und Unterstützung im Top-Management | 45 % |
| Es fehlt an Bewusstsein beim mittleren Management | 42 % |
| Es fehlen verfügbare und kompetente Mitarbeiter | 33 % |
| Es fehlen die strategischen Grundlagen/ Gesamt-Konzepte | 31 % |
| Die Kontrolle auf Einhaltung ist unzureichend | 29 % |
| Es fehlt an Möglichkeiten zur Durchsetzung sicherheitsrelevanter Maßnahmen | 28 % |
| Es fehlen geeignete Methoden und Werkzeuge | 18 % |
| Die vorhandenen Konzepte werden nicht umgesetzt | 18 % |
| Es fehlen geeignete Produkte | 17 % |
| Anwendungen sind nicht für ISi-Maßnahmen vorbereitet | 17 % |
| Es fehlen realisierbare (Teil-)Konzepte | 16 % |
| Es fehlt an praxisorientierten Sicherheitsberatern | 8 % |
| Sonstiges | 6 % |
| keine Hindernisse | 3 % |
Tabelle 6: Hindernisse für bessere Informations-Sicherheit
Basis: 160 Antworten
Dennoch zeigt der Kenntnisstand zur Informations-Sicherheit (Abb. 6) ein gewohntes Bild und keinen deutlichen Wissenszuwachs bei Anwendern und Management: die Bewertungen fielen höchstens ein bis zwei Zehntelnoten besser aus als 2002, das Top-Management stagnierte bei "etwas besser als mittelmäßig". Und noch immer wird fast ein Viertel der Manager "gar nicht" zu Fragen der Informations-Sicherheit geschult oder informiert (vgl. Abb. 7); allerdings ist auf der anderen Seite eine erfreuliche Steigerung derjenigen Managergruppe zu beobachten, die regelmäßig solche Weiterbildung erfahren (jetzt 19 %, 2002 12 %). Der Schwerpunkt der Schulungen liegt aber weiterhin bei den Spezialisten und zwar in Form gelegentlicher externer Schulungen. Online-Trainings und interaktives Material (Lern-CDs o. Ä.) sind weiterhin eher die Ausnahme und bei weit über 50 % überhaupt nicht im Einsatz (Tab. 7).
![[ Durchschnittsnoten: IT-Sicherheitsfachleute 1,65, Anwender (hochsensitive Bereiche) 2,29, Top-Management 2,87, Mittelmanagement 2,89, Anwender (weniger sensitive Bereiche) 3,23 ]](04-4-006-6.gif)
Abbildung 6: Kenntnisse der Manager und Mitarbeiter
Basis: Ø 148 Antworten
![[ Vergleichswert (errechnet aus 'regelmäßig, min. 1xjährl'=3, 'gelegentlich'=1, 'nie'=0): ISi-Beauftragte 2,32, Datenschutzbeauftragte 1,83, IV/DV-Mitarbeiter 1,82, Revisoren, Prüfer 1,69, Benutzer 1,34, Management 1,14, andere 0,73 ]](04-4-006-7.gif)
Abbildung 7: Schulungsfrequenz verschiedener Mitarbeitergruppen
Basis: Ø 128 Antworten, 83 (Prüfer), 45 (andere)
| Ausbildungsmethode ... wird eingesetzt: | häufig | gelegentlich | nie | Antworten |
|---|---|---|---|---|
| interne Schulungen durch Frontalunterricht, möglichst flächendeckend | 10 % | 44 % | 46 % | 132 |
| interne Schulungen durch Frontalunterricht für Spezialgruppen | 17 % | 56 % | 28 % | 133 |
| externe Schulungen | 19 % | 55 % | 26 % | 138 |
| Materialien (Schulungsunterlagen) zum Selbstlernen | 14 % | 58 % | 28 % | 139 |
| (Multimediale) Lern-CDs zum Selbstlernen | 8 % | 28 % | 64 % | 119 |
| Online-Trainings-Anwendungen/-Tools (Intranet) | 11 % | 31 % | 58 % | 120 |
Tabelle 7: Schulungsmethoden
Basis: siehe "Antworten"
![[ DE 85,9%, CH 5,5%, US 3,1%, AT 2,5%, sonst. 3,1% ]](04-4-006-8.gif)
Abbildung 8: (Haupt-)Sitz der teilnehmenden Unternehmen und Behörden
Basis: 163 Antworten
Die Teilnehmer der <kes>-Sicherheitsstudien entstammen klassischerweise eher großen mittelständischen sowie Großunternehmen und -institutionen: Die durchschnittliche Mitarbeiterzahl beträgt über 4 600, in der Summe repräsentieren die Befragten rund eine Dreiviertelmillion Beschäftigte. In diesem Jahr hat sich auch ein beträchlicher Anteil kleinerer und mittlerer Unternehmen an der Studie beteiligt, die offenbar überwiegend besonderen Wert auf die Sicherheit legen (s. a. Budgets): Obwohl die Unternehmen mit weniger als 500 Mitarbeitern (KMU) nur 1,5 % der Gesamtzahl beschäftigen, zeichnen sie für rund 30 % der insgesamt erfassten 1 139 ISi-Spezialisten verantwortlich. Das spiegelt sich auch in den "überdurchschnittlichen" IT-Abteilungen der "Kleinen" wider, die (bei durchschnittlich 128 Mitarbeitern insgesamt) im Schnitt 15 Köpfe zählen; vier davon sind Sicherheitsspezialisten, 40 % haben eine zentralen ISi-Beauftragten. Ein überdurchschnittlich großer Teil in dieser Teilnehmer-Gruppe sind Berater und sonstige Dienstleister; "kleinere" Banken und Behörden sind dort ebenfalls stark vertreten.
![[ Behörden 16%, Berater 16%, Übrige Industrie (ohne chem.) 12%, Kreditwirtschaft 11%, Outsourcing-Dienstleister 6%, TK-Dienstleister 5%, Handel 4%, Medien 4%, Versicherungen 4%, Wissenschaft/Schulen 3%, Wirtschaftsprüfung 3%, Chemische Industrie 3%, Energieversorgung 3%, Handwerk 2%, Transport/Verkehr 1%, Sonstige 9% ]](04-4-006-9.gif)
Abbildung 9: Branchenzugehörigkeit der Teilnehmer an der <kes>/Microsoft-Sicherheitsstudie
Basis: 161 Antworten
Die "Großen" haben hingegen im Schnitt gut 10 000 Mitarbeiter; die durchschnittliche IT-Abteilung zählt dort rund 300 Beschäftigte, von denen sich 12 speziell der Informationssicherheit widmen; ein zentraler ISi-Beauftragter ist in vier Fünfteln dieser Unternehmen vorhanden. Die IT-Ausstattung der Befragten zeigt sich – unter Auslassung eines "Ausreißerwerts" – im Mittel wie folgt (Werte in Klammern geben die Durchschnittszahlen für KMU bzw. Großbetriebe an): 3 Mainframes (2 / 4), 145 Server (15 / 321), 2 434 Clients/PCs (168 / 5 631), 55 Heimarbeitsplätze (5 / 132) sowie 381 mobile Endgeräte (22 / 864). Der Anteil mobiler Endgeräte ist dabei weiter gewachsen: 2002 lag dieser bei gut 10 %, heuer bereits bei 13 %. Nimmt man die Heim- und Telearbeitsplätze hinzu, so befinden sich heute rund 14,5 % aller Endgeräte außerhalb der unmittelbaren oder zumindest stetigen Verfügungsgewalt der Unternehmen.
Auch hinsichtlich der Netzwerke zeigt sich der Trend zum verteilten Arbeiten: Die Studie erfasst dieses Jahr insgesamt 1 877 Weitverkehrsnetze (WAN, inkl. VPN und gemieteten Netzen), somit durchschnittlich 16 (7 / 27) pro befragtem Unternehmen. Im Mittel betreibt jedes teilnehmende Unternehmen zudem 65 LAN/PC-Netze (8 / 155) und 3 Wireless LANs (1 / 6).
84 Teilnehmer haben Angaben zu Umsatz oder Bilanzsumme ihres Unternehmens gemacht (weitere 38 gaben an, dass eine solche Zahl aufgrund eines Status als Behörde o. Ä. irrelevant wäre). Der durchschnittliche angegebene Umsatz belief sich dabei auf knapp 2 Mrd. € – auch von den KMU, die hier Angaben gemacht haben, konnte mehr als ein Drittel mindestens 10 Mio. € Umsatz verbuchen. Die mittlere angegebene Bilanzsumme (entscheidende Kennzahl für Versicherungs- und Kreditwirtschaft) kam auf beinahe 20 Mrd. €.
Zu den bereitstehenden Budgets (jeweils inkl. Personalkosten) haben 93 Befragte geantwortet: Bei einem durchschnittlichen Wert von gut 10 Mio. € für die IT-Budgets 2004 kommen für die Stichprobe der <kes>/Microsoft-Sicherheitsstudie hochgerechnet deutlich über 1,6 Mrd. € zusammen, von denen aber vermutlich der Löwenanteil auf Personalkosten entfallen dürfte. Der Anteil für die Informationssicherheit liegt im Mittel bei 13 % (18 % bei KMU, 6 % bei den "Großen"). Aus 83 Fragebögen, in denen wir sowohl zum IT-Budget als auch zum ISi-Anteil Angaben erhalten haben, ließ sich als mittlerer absoluter Betrag für die geplanten ISi-Ausgaben 381 787 € errechnen (wiederum kategorisiert nach Mitarbeiterzahl: 132 Tsd. € / 779 Tsd. €; s. a. Abb. 10).
![[ unter 1 Tsd. € 5x, 1 Tsd. - 10 Tsd. € 13x, 10 Tsd. - 100 Tsd. € 31x, 100 Mio. - 500 Mio. € 20x, 500 Mio. - 1 Mrd. € 5x, über 1 Mrd. € 9x ]](04-4-006-10.gif)
Abbildung 10: Budget für Informations-Sicherheit (Anzahl Nennungen)
Basis: 83 Antworten
Allerdings mussten die meisten Teilnehmer die entsprechenden Werte schätzen – der Anteil der "ermittelten" Daten liegt jedoch im Vergleich zur vorigen Studie höher: 17 % der Antwortenden konnten sich beim IT-Budget auf "sichere" Zahlen stützen, immerhin 9 % auch beim ISi-Anteil (2002 waren das nur 5 %). Bei Organisationen mit mehr als 500 Mitarbeitern lagen die Anteile der "ermittelten" Werte mit 31 % beziehungsweise 20 % dabei deutlich über den KMU, bei denen nur 9 % der IT-Budgets beziehungsweise 2 % der ISi-Anteile nicht der erhöhten Varianz von Schätzungen unterworfen waren.
Auch dieses Jahr zeigte sich der immense Wert der vorgehaltenen Informationen in den Aussagen von 90 Teilnehmern, die sich zu Verlusten nach der Vernichtung aller elektronisch gespeicherter Daten äußerten: Neun Antworten davon lauteten schlichtweg "unvorstellbar", "unbezahlbar" oder legten nahe, dass dies den Geschäftsverlust zur Folge hätte. Die 81 quantifizierten Antworten ergaben einen mittleren Datenwert von rund 281 Mio. € (12,5 Mio. € / 694 Mio. €), wobei die höchste Nennung 6,3 Mrd. € lautete. Die meisten Schätzungen lagen zwischen einer und einhundert Millionen Euro (vgl. Tab. 8), wobei die geringeren Werte – nicht überraschend – eher bei den kleineren, die höheren Verluste eher bei den größeren Unternehmen erwartet wurden.
| Datenwert/Verlust | Nennungen |
|---|---|
| unter 10 000 € | 3 |
| 10 000 bis 100 000 € | 11 |
| 100 000 bis 1 Mio. € | 19 |
| 1 Mio. bis 100 Mio. € | 27 |
| 100 Mio. bis 500 Mio. € | 13 |
| 500 Mio. bis 1 Mrd. € | 2 |
| über 1 Mrd. € | 6 |
| Unternehmenswert, Bankrott o. Ä. | 9 |
Tabelle 8: Geschätzter Verlust bei Vernichtung aller elektronisch gespeicherter Daten (Anzahl der Nennungen pro Staffel)
Basis: siehe "Nennungen"
Weitere Detailauswertungen zur <kes>/Microsoft-Sicherheitsstudie liefert Teil 2.
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2004#4, Seite 6
| 