![[ Aufmachergrafik: heller, corporate design ]](04-5-006-0.jpg)
Lagebericht zur Informations-Sicherheit (2) Lagebericht zur Informations-Sicherheit (2)Die <kes>/Microsoft-Sicherheitsstudie ist die zehnte <kes>-Studie, die durch die vertrauensvollen und umfassenden Antworten ihrer Teilnehmer sowie die Unterstützung von Sponsoren und Partnern tiefe Einblicke in die Informations-Sicherheit (ISi) des deutschsprachigen Raums ermöglicht – dafür vielmals Dankeschön. In diesem Jahr sind 163 Fragebögen eingegangen. Der erste Teil der Auswertung ist bereits im August in <kes> 2004#4 erschienen; die wichtigsten Kernpunkte des zweiten Teils lauten:
----------Anfang Textkasten----------
Die folgenden Unternehmen fördern die Durchführung unserer aktuellen Sicherheitsstudie:
![[Logos: Microsoft, Aladdin, CLEARSWIFT, DIM, entrada, GROUP Technologies, INFO AG, Lampertz, NOKIA, Paket Alarm, ROG, »|secaron, SOLSOFT, SOPHOS, T-Systems, UIMC]](sponsoren2004.jpg)
Für zusätzliche Anregungen und Hinweise bedanken wir uns beim Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie bei der Hans-Joachim Gaebert Unternehmensberatung. Weiterhin gilt unser Dank allen Teilnehmern an der Befragung, die durch ihre wertvolle Mitarbeit ein sinnvolles Gesamtbild entstehen ließen.
Die Auswertung der <kes>/Microsoft-Sicherheitsstudie erfolgte inklusive Erstellung der Ergebnistabellen und aller Grafiken größtenteils mit dem interaktiven Analysewerkzeug InfoZoom. Wir bedanken uns bei humanIT (![[externer Link]](../../../images/link.gif)
www.humanit.de) für die freundliche Unterstützung in technisch-organisatorischer Hinsicht.
----------Ende Textkasten----------
Bei der Frage nach den Verantwortlichkeiten in Sachen Informations-Sicherheit (ISi) sind die bedeutendsten Positionen der zentrale ISi-Beauftragte und der Leiter der Informations-/Datenverarbeitung (IV/DV bzw. RZ-Leiter): 58 % der Befragten haben einen zentralen ISi-Beauftragten (Tab. 1), der dort naturgemäß die Formulierung der ISi-Ziele, Risikoanalysen und Konzepte sowie die Business Continuity dominiert. Wo es keinen zentralen ISi-Beauftragen gibt, übernimmt vor allem der Leiter IV/DV/RZ wesentliche Teile der Sicherheitsverantwortung, aber auch Top-Management und Administratoren nehmen in diesen Unternehmen verstärkt Sicherheitsaufgaben wahr. Einen durchweg besonders hohen Anteil haben die Leiter IV/DV/RZ an Notfall- und Eskalationsmaßnahmen sowie Business Continuity: Hierbei stehen sie bei knapp 43 % der Befragten in der Pflicht, während zentrale ISi-Beauftragte "nur" von rund 35 % für diesen Bereich als (mit-)verantwortlich benannt wurden.
| Gibt es im Unternehmen... ? | ja, bei |
|---|---|
| zentraler ISi-Beauftragter | 58 % |
| dezentraler ISi-Beauftragter | 12 % |
| zentraler Datenschutzbeauftragter | 60 % |
| dezentraler Datenschutzbeauftragter | 10 % |
| ISi-Ausschuss (o. Ä.) | 13 % |
| Leiter IV/DV/RZ | 70 % |
| IV/DV-Revision | 35 % |
| Leiter Sicherheit/Werkschutz | 31 % |
| DV-orientierter Jurist | 10 % |
Tabelle 1: Vorhandene Posten
Basis 145 Antworten
Insgesamt liegt die Verantwortung für Sicherheitsaufgaben allerdings häufig nicht nur bei einer Person – bei vorhandenem zentralen ISi-Beauftragten sogar noch seltener als in den Organisationen, wo dieser Posten nicht existiert. Bei der Prüfung und Einhaltung gesetzlicher Vorgaben tragen zentrale Datenschutzbeauftragte (vorhanden bei 43 % der Teilnehmer) sogar häufiger (Mit-)Verantwortung als zentrale ISi-Beauftragte. Die Revision wirkt dabei naturgemäß auch verstärkt mit; darüber hinaus wird dieser Funktionsbereich vor allem bei Risiko- und Sicherheitsanalysen mit einbezogen. Bei der (Mit-)Verantwortlichkeit für die Sensibilisierung und Schulung der Anwender folgen dem zentralen ISi-Beauftragten (29 %) die Administratoren (22 %) und der Benutzerservice (21 %).
Dass Sicherheitsaspekte bei der Beschaffung und Inbetriebnahme von IT-Systemen von immerhin 35 % der Befragten als Hauptkriterium genannt wurden (vgl. Abb. 1), schlägt sich nicht in der Verantwortlichkeit für Beschaffung und Betrieb nieder: Dies ist klar die Domäne der Leiter IV/DV/RZ – ISi-Beauftragte haben dort nur bei rund 3–6 % der Unternehmen eine Mitverantwortung. Immerhin gaben 38 % der Teilnehmer an, dass die Erfüllung von ISi-Anforderungen als Voraussetzung für die Inbetriebnahme auch verifiziert wird – diese Gruppe ist allerdings überraschenderweise nur zu rund zwei Dritteln deckungsgleich mit der Nennung von Sicherheitsaspekten als Hauptkriterium.
![[ Sicherheitsaspekte sind bei der Beschaffung... ein Hauptkriterium 35%, eher zweitrangig 49%, eher unbedeutend 17% ]](04-5-006-1.jpg)
Abbildung 1: Bedeutung von Sicherheitsaspekten bei der Beschaffung von IT-Systemen
Basis: 156 Antworten
Mit nur 52 % lag heuer der Anteil der Befragten, die Outsourcing in der einen oder anderen Form betreiben deutlich niedriger als vor zwei Jahren (2002 waren es 73 %). Neben der Entsorgung von Datenträgern sind dabei weiterhin Managed Firewalls/IDS beliebt, gefolgt von extern gepflegten Netzwerken und Betriebssystemen (vgl. Tab. 2). Service-Level-Agreements (SLAs) haben in der Outsourcing-Stichprobe eine etwas stärkere Bedeutung als bei den 2002 Befragten: Drei Viertel der Outsourcing-Geber haben ein SLA abgeschlossen, 69 % auch mit expliziten Anforderungen an die ISi (2002: 60 %), Datenschutzanforderungen sind sogar bei 74 % der Unternehmen enthalten, für die diese Thematik relevant erschien. Ein knappes Drittel der SLAs enthalten zudem ein regelmäßiges Kontrollrecht.
| Genutzte Outsourcing-Dienstleistungen | ja, von |
|---|---|
| Entsorgung von Datenträgern (Papier, EDV) | 63 % |
| Managed Firewall/IDS | 32 % |
| Betriebssystempflege | 29 % |
| Netzwerk-Management | 28 % |
| Datensicherung, Backup-Lösungen | 26 % |
| gesamtes Rechenzentrum | 23 % |
| Datenbank-Systeme, Werkzeuge | 23 % |
| Online-Anwendungssysteme | 21 % |
| Sonstiges | 18 % |
| Auftragsentwurf, Arbeitsvorbereitung, Operating | 15 % |
| Notfallvorsorge/Business Continuity | 15 % |
| Verwaltung, Dokumentation, Archivierung | 13 % |
| Personaleinsatz, Personalentwicklung, Mitarbeiterweiterbildung | 13 % |
| Haustechnik | 13 % |
| Überwachung, Kontrolle, Qualitätssicherung | 12 % |
| Datenschutz gemäß BDSG | 11 % |
Tabelle 2: Outsourcing-Dienstleistungen
Basis: 82 Outsourcing-Geber
Bei der Nutzung von Beratungsdienstleistungen zeigt sich ein ähnliches Bild wie vor zwei Jahren: 53 % der Befragten nutzen gelegentlich Consultants, 6 % tun dies regelmäßig. Haupt-Aufgabe der Berater waren dabei Risikoanalysen und Konzeptentwicklung sowie Penetrationstests und sonstige Schwachstellenanalysen (s. a. Tab. 3). Die Zufriedenheit mit den Beratungsleistungen hat sich im Vergleich zur vorigen Studie sogar noch etwas verbessert (vgl. Abb. 2): Bei weiterhin nur 3 % unzufriedenen Kunden zeigten sich heuer sogar 51 % uneingeschränkt zufrieden (2002: 49 %).
| Genutzte Beratungs-Dienstleistungen | ja, von |
|---|---|
| Risikoanalysen und Konzeptentwicklung | 55 % |
| Penetrationstests | 48 % |
| Schwachstellenanalysen | 44 % |
| Strategie- und Managementberatung | 35 % |
| Kontrolle vorhandener Konzepte auf Eignung und Einhaltung | 31 % |
| Umsetzung von Konzepten und Maßnahmen | 28 % |
| Sonstiges | 6 % |
Tabelle 3: Beratungsdienstleistungen
Basis: 95 Beratungs-Kunden
![[ ohne Einschränungen zufrieden 51%, eingeschränkt zufrieden 46%, nicht zufrieden 3% ]](04-5-006-2.jpg)
Abbildung 2: Zufriedenheit mit Beratungsdienstleistungen
Basis: 95 Antworten
Erstmals haben wir in dieser <kes>-Studie nach Computer Emergency (CERTs) und Security Incident Response Teams (CSIRTs) gefragt: 23 % der Teilnehmer nutzen externe CERT/CSIRT-Dienstleistungen; allerdings nur ein gutes Drittel davon kostenpflichtige Leistungen. Ein eigenes CERT oder CSIRT betreiben 19 % der Befragten.
Bei der Risikoabwälzung auf Versicherungen lagen die "Klassiker" klar vorne: 79 % der Teilnehmer haben eine Feuerversicherung abgeschlossen (gut jeder Zwanzigste davon musste diese auch bereits in Anspruch nehmen), 69 % haben eine Sachversicherung, die sogar schon bei fast zwei Fünftel ihrer Versicherten einmal einspringen musste (Tab. 4).
Zertifikate und Audits scheinen im Zusammenhang mit Versicherungen derzeit dennoch nur eine Randerscheinung zu sein: Nur 2 % bejahten unsere Frage, ob sie für den Abschluss mindestens einer Versicherung ein ISi-Audit durchlaufen oder ein anerkanntes ISi-Zertifikat vorlegen mussten. Bei möglichen Rabatten sah es nicht viel anders aus: 7 % wussten von günstigeren Konditionen mindestens einer ihrer abgeschlossenen Versicherungen zu berichten, falls freiwillig eine solche Überprüfung durchlaufen würde.
| Versicherungen | abgeschlossen von | bereits beansprucht (Nennungen) |
|---|---|---|
| Feuerversicherung | 79 % | 6 |
| Sachversicherung | 69 % | 33 |
| "Technologie-Police" o.ä. (Kombination von Elektronik- u. Maschinenversicherung) | 19 % | 3 |
| Computermissbrauch-Versicherung | 11 % | 0 |
| Datenmissbrauch-Versicherung | 7 % | 0 |
| Datenrechtsschutz-Versicherung | 7 % | 0 |
| Sonstige | 5 % | 2 |
| Datenversicherung/Softwareversicherung | 3 % | 3 |
| Elektronik-Betriebsunterbrechungsversicherung | 3 % | 3 |
| erw. Datenversicherung (inkl. Schäden durch Viren, fehlerhaftes Programmieren, versehentliches Löschen) | 1 % | 1 |
| Mehrkostenversicherung | 1 % | 1 |
| keine | 22 % |
Tabelle 4: Versicherungen
Basis: Ø 101 Antworten
Der Anteil der Befragten mit einer schriftlich fixierten Strategie zur Informations-Sicherheit ist im Vergleich zu 2002 erfreulicherweise um vier Prozentpunkte auf jetzt 60 % gestiegen; auch bezüglich des Vorhandenseins eines integrierten Sicherheitshandbuchs liegen die Angaben mit 31 % deutlich über dem Ergebnis der vorigen Studie. Gleichzeitig sind bezogen auf die gesamte Stichprobe die Zahlen bezüglich spezifischer schriftlicher Konzepte und Richtlinien zu Detailthemen um vier bis neun Prozentpunkte gesunken – Spitzenreiter sind erneut Richtlinien zur Internet- und E-Mail-Nutzung (bei 77 % der Befragten vorhanden), Schlusslicht bleiben mit wiederum nur 33 % Nennungen Richtlinien zur Verschlüsselung (Tab. 5).
| eingegrenzt auf Unternehmen | |||
|---|---|---|---|
| mit | ohne | ||
| Gibt es im Unternehmen... ? | ja, bei | ISi-Strategie | |
| schriftlich fixierte IV-Strategie | 56 % | 83 % | 16 % |
| schriftlich fixierte ISi-Strategie | 60 % | 100 % | 0 % |
| umfassendes, integriertes Sicherheitshandbuch | 31 % | 48 % | 8 % |
| schriftlich fixierte spezifische ISi-Konzepte/-Richtlinien... | |||
| ... zum Einsatz von Verschlüsselung | 33 % | 47 % | 13 % |
| ... zur Handhabung sensitiver/ kritischer Daten | 61 % | 78 % | 37 % |
| ... zur Nutzung von Internet, E-Mail, ... | 77 % | 91 % | 54 % |
| ... zum Softwareeinsatz auf PCs | 70 % | 84 % | 49 % |
| ... zur Nutzung mobiler Endgeräte (Notebook, PDA, ...) | 54 % | 72 % | 30 % |
| ... Sonstige | 26 % | 45 % | 9 % |
| Eignung von Konzepten/Richtlinien wird geprüft | 66 % | 86 % | 39 % |
| schriftlich formulierte Maßnahmen | 65 % | 92 % | 34 % |
| Einhaltung vorgesehener Maßnahmen wird geprüft | 69 % | 86 % | 40 % |
Tabelle 5: Strategien, Richtlinien und Konzepte
Basis: Ø 157 Antworten (exist. Maßnahmen: 102), Ø 155 (Prüfung)
Ein EDV-Notfall- und Wiederanlaufkonzept existiert bei 82 % der Teilnehmer – allerdings nur bei einem Fünftel davon in verifizierter und validierter Form. Mehr als zwei Fünftel haben dieses Konzept hingegen nicht einmal schriftlich niedergelegt, was wohl Zweifel an seiner Tragfähigkeit im Falle eines Falles aufwirft. Der Anteil der "überlieferten" Notfallkonzepte stieg damit gegenüber 2002 um 10 Prozentpunkte, während validierte Konzepte um 10 Prozentpunkte zurückgingen (Inhalte von Notfallkonzepten s. Abb. 3).
![[meistgenannt: Hardware-Ausfall/-Wiederbeschaffung 84%, physische Einwirkungen 72%, Viren/Würmer/Exploits 68% ]](04-5-006-3.jpg)
Abbildung 3: Berücksichtigung spezieller Anforderungen im EDV-Notfall-/Wiederanlaufkonzept
Basis: Ø 123 Antworten
Gesunken ist auch die Bereitschaft, Konzepte, Richtlinien und Maßnahmen zu überprüfen: Während vor zwei Jahren nur 24 % die Einhaltung vorgesehener Maßnahmen nicht geprüft haben, sind dies heuer 31 % (Tab. 6) – bezogen auf die gesamte Stichprobe verzichten sogar 34 % aktuell auf die Prüfung der fortdauernden Eignung von Konzepten und Richtlinien (Tab. 7; 2002 waren das nur 16 %).
| Die Einhaltung vorgesehener Maßnahmen wird geprüft... | ja, bei |
|---|---|
| durch die eigene Sicherheitsabteilung | 33 % |
| durch die Revision | 32 % |
| durch Sonstige | 11 % |
| durch externe Sicherheitsberater | 9 % |
| nein, sie wird nicht geprüft | 31 % |
Tabelle 6: Prüfung vorgesehener Maßnahmen
Basis: 159 Antworten
| Die (fortdauernde) Eignung von Konzepten/Richtlinien wird geprüft mithilfe von... | ja, bei |
|---|---|
| (erneuten) Risikoanalysen | 44 % |
| (erneuten) Schwachstellenanalysen | 40 % |
| Übungen (Notfall, Wiederanlauf) | 32 % |
| Penetrationsversuchen | 32 % |
| Simulationen oder Szenarien | 13 % |
| Sonstiges | 8 % |
| nein, es erfolgt keine Überprüfung | 34 % |
Tabelle 7: Prüfung der Eignung von Konzepten und Richtlinien
Basis: 157 Antworten
Betrachtet man die Antworten auf diese Fragen getrennt für die Unternehmen mit schriftlicher Sicherheits-Strategie, so zeigt sich – wenig verwunderlich – eine insgesamt höhere Bereitschaft, Konzepte und Maßnahmen schriftlich zu fixieren und anschließend zu prüfen (vgl. Tab. 5). Dennoch bleiben auch bei diesem Teil der Stichprobe noch 14 %, die nach der Festlegung von Konzepten, Richtlinien und Maßnahmen keine weiteren Prüfungen durchführen (zur Reichweite s. Abb. 4).
![[ alle geschäftskritischen Systeme 34,5%, einzelne Systeme 55,2%, nicht bekannt 10,3%]](04-5-006-4.jpg)
Abbildung 4: Reichweite der Eignungs-Überprüfung von Konzepten und Richtlinien
Basis: 116 Antworten
Wie riskant fehlende (fortdauernde) Prüfungen sind, belegen jedoch eindrücklich die Zahlen der bei Überprüfungen zu Tage tretenden Probleme: In 75 % der Fälle wurden dabei Schwachstellen gefunden – und das sah bei Unternehmen mit schriftlicher Strategie nicht anders aus als bei denen ohne.
Der Einsatz von Open Source Software (OSS) ist unter den Befragten weit verbreitet: Zwei Drittel nutzen OSS. Obwohl mit 59 % der größte Teil Open Source für sicherer hält als Produkte mit nicht-offengelegtem Quelltext (vgl. Abb. 5), liegt der Hauptgrund für den OSS-Einsatz doch beim Geld: 50 % gaben an, Open Source aus Kostengründen zu verwenden, nur 31 % wegen der Sicherheit. Weitere genannte Beweggründe waren beispielsweise mögliche Anpassungen oder bestehende Funktionen, Leistungsfähigkeit, Interoperabilität, Unabhängigkeit von Herstellern oder ideologische Gründe.
![[sicherer 59%, gleich sicher 32,5%, weniger sicher 8,5%]](04-5-006-5.jpg)
Abbildung 5: Einschätzung der Sicherheit von Open Source Software
Basis: 151 Antworten
Zugenommen hat der Einsatz von Produkten mehr als eines Herstellers bei Anti-Virus-Systemen: Vor zwei Jahren lag der Anteil der Befragten, die auf einen einzelnen Anbieter gesetzt haben, noch um neun Prozentpunkte höher als dieses Mal. Heuer setzen bereits 47 % die Lösungen zweier Anbieter in Kombination ein, um die Sicherheit der Malware-Abwehr zu verbessern, 13 % nutzen sogar drei oder mehr unterschiedliche Produkte auf verschiedenen Systemen oder Netzwerksegmenten. Erstmals haben wir dieses Jahr auch nach der Heterogenität in anderen Bereichen gefragt und hier bei Server-Betriebssystemen und Applikations-Servern ebenfalls einen deutlichen Anteil heterogener Architekturen gefunden (s. Tab. 8).
| Im Einsatz sind Lösungen von ... | einem Anbieter | zwei Anbietern | drei und mehr Anbietern |
|---|---|---|---|
| Anti-Virus-Software | 40 % | 47 % | 13 % |
| Firewalls | 64 % | 28 % | 8 % |
| Router | 65 % | 22 % | 13 % |
| Server-Betriebssysteme | 44 % | 32 % | 24 % |
| Web-Server | 66 % | 24 % | 10 % |
| Applikations-Server | 49 % | 29 % | 22 % |
Tabelle 8: Heterogenität aus Sicherheitsgründen
Basis: Ø 142 Antworten
Der Bekanntheitsgrad der drei von uns bereits in der vorigen Studie erfragten internationalen Kriterienwerke ITSEC, Common Criteria (CC) und BS 7799 (bzw. ISO 17799) ist ungefähr so groß wie vor zwei Jahren – CC und BS 7799 sind noch immer rund einem Fünftel der Teilnehmer unbekannt. Gestiegen ist allerdings der Anteil derjenigen Teilnehmer, welche die Kriterien kennen und sich damit auch näher befasst haben, vor allem beim BS 7799, wo heuer 13 Prozentpunkte mehr zu verzeichnen sind als noch vor zwei Jahren. Erstmals gefragt haben wir nach ITIL und COBIT sowie dem US-Standard FIPS 140, der aber offenkundig im deutschsprachigen Raum keine nennenswerte Akzeptanz findet (vgl. Abb. 6).
![[ITSEC 85%, Common Criteria 79%, BS 7799 78%, FIPS 140 47%, ITIL 74%, COBIT 67% ]](04-5-006-6.jpg)
Abbildung 6: Bekanntheitsgrad internationaler ISi-Kriterien
Basis: Ø 149 Antworten
Gestiegen ist hingegen mit der näheren Betrachtung der allgemeinen Kriterien zur Evaluierung auch der Einsatz evaluierter Produkte: Mit 39 % der Teilnehmer setzen fünf Prozentpunkte mehr als 2002 mindestens ein zertifiziertes Sicherheitsprodukt ein; ihre Erwartungen an Nutzen und Zuverlässigkeit dieser Produkte sahen – wie schon vor zwei Jahren – wiederum rund zwei Drittel als erfüllt an.
Eine klare Absage haben die Befragten heuer jedoch Mehrkosten für Sicherheitszertifikate erteilt: Während vor zwei Jahren noch 78 % der Antwortenden meinten, ein zertifiziertes Produkt rechtfertige einen höheren Preis, so sprach sich in der heute offenkundig angespannten finanziellen Lage sogar eine schwache Mehrheit gegen diese Aussage aus – nur noch 44 % sehen einen höheren Preis nunmehr als gerechtfertigt an.
Diese Ablehnung könnte auch einer der Gründe sein, warum dieses Jahr weniger Teilnehmer sich bezüglich des künftigen Einsatzes zertifizierter Lösungen unentschlossen zeigten: 26 % äußerten eine klares Nein zum bevorzugten Einsatz evaluierter Produkte (2002: 13 %), 24 % bejahten dies allerdings auch ebenso klar (2002: 23 %).
70 % der befragten Unternehmen führen eine Risikobewertung von Anwendungen und Systemen hinsichtlich ihrer Bedeutung für die Aufgabenerfüllung durch (vgl. Abb. 7); gut ein Fünftel der Teilnehmer prüft dabei alle Systeme. Diese Werte sind praktisch identisch mit dem Ergebnis von 2002. Deutlich verändert haben sich hingegen die Kriterien, die dabei vorrangig herangezogen werden: Bei weiterhin geringem Abstand verdrängt die Bedeutung möglicher Verstöße gegen Gesetze, Vorschriften und Verträge die Angst vor Imageverlust von Platz Eins der Skala. Um zwei Plätze höher bewertet haben die Teilnehmer dieses Jahr zudem Haftungsansprüche und Schäden bei Dritten (Tab. 9).
![[für alle Systeme 21,3%, für einzelne Systeme 48,4%, keine Risikobewertung 30,3% ]](04-5-006-7.jpg)
Abbildung 7: Reichweite der Risikobewertung
Basis: 155 Antworten
| Kriterien zur Risikobewertung | sehr wichtig | wichtig | unwichtig | Vgl.-Wert | Vgl.-Wert 2002 |
|---|---|---|---|---|---|
| Verstöße gegen Gesetze, Vorschriften oder Verträge | 48 % | 44 % | 8 % | 1,40 | 1,47 |
| Imageverlust | 50 % | 36 % | 15 % | 1,35 | 1,51 |
| Schaden bei Dritten/Haftungsansprüche | 43 % | 42 % | 16 % | 1,27 | 1,11 |
| direkter finanzieller Schaden durch Manipulationen an finanzwirksamen Informationen | 38 % | 49 % | 12 % | 1,26 | 1,36 |
| Verzögerung von Arbeitsabläufen | 33 % | 55 % | 12 % | 1,21 | 1,35 |
| indirekte finanzielle Verluste (z.B. Auftragsverlust) | 36 % | 42 % | 22 % | 1,14 | 0,98 |
| direkter finanzieller Schaden an Hardware u. ä. | 12 % | 50 % | 37 % | 0,75 | 0,97 |
| Verstöße gegen interne Regelungen | 9 % | 54 % | 37 % | 0,72 | 0,85 |
Tabelle 9: Kriterien zur Risikobewertung
Basis Ø 135 Antworten
Die nochmals gestiegene Priorität von Gesetzen und Verträgen für die Risikobewertung beziehen die Befragten anscheinend vorrangig auf Verträge – zumindest ist ein gesteigerter Bekanntheitsgrad wichtiger Gesetze nicht feststellbar (Abb. 8): Beispielsweise geben auch in diesem Jahr 48 % der Befragten an, das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) nicht zu kennen, die Vorschriften des Teledienste- und Telekommunikationsrechts sind 45 % beziehungsweise 33 % der Befragten unbekannt, obwohl sie große Bedeutung für die Protokollierung auf Firewalls, Web- und Mail-Servern sowie für die E-Mail-Bearbeitung im Allgemeinen haben.
![[bekannt/relevant: BDSG 87% / 81%, TKG/TDSV/TKÜV 67% / 56%, TDG/TDDSG 55% / 52%, ZKDSG 19% / 11%, SigG/SigV 65% / 37%, KonTraG 52% / 36%, GDPdU 49% / 46%, Basel II 62% / 34% ]](04-5-006-8.jpg)
Abbildung 8: Bekanntheitsgrad und geäußerte Relevanz gesetzlicher und sonstiger Rahmenwerke
Basis: Ø 144 Antworten (Bekanntheit), Ø 134 (Relevanz)
Immerhin sind aber die Angaben zum Umsetzungsgrad der meisten Bestimmungen etwas fortgeschrittener als 2002: Abgesehen von Rückschritten beim – in Bekanntheit und Umsetzung klar vorne liegenden – Bundesdatenschutzgesetz (BDSG) und auch beim KontraG zeigten sich ein höherer Anteil umfassender Umsetzung sowie weniger Unternehmen mit nur geringer Umsetzung (naturgemäß beruhen diese Angaben auf einer reduzierten Stichprobe, da die Umsetzung eines unbekannten bzw. als irrelevant angesehenen Gesetzes nur selten erfolgt).
Dennoch kann der Grad der "regulatorischen Compliance" insgesamt wohl nur als ungenügend gelten, wenn beispielsweise noch immer jedes zweite Unternehmen die größtenteils als relevant angesehenen Bestimmungen des BDSG nur "teilweise oder gering" umsetzt. Bei Telekommunikations- und Teledienstegesetzen sieht es noch deutlich schlechter aus, wenn bislang selbst in der verringerten Stichprobe, die hier eine Relevanz erkannt hat, nur etwa jeder Dritte "umfassend" reagiert (vgl. Abb. 9).
![[ umfassend umgesetzt: BDSG 50%, TKG/TDSV/TKÜV 31%, TDG/TDDSG 33%, ZKDSG 12%, SigG/SigV 13%, KonTraG 30%, GDPdU 25%, Basel II 21% ]](04-5-006-9.jpg)
Abbildung 9: Umsetzungsgrad gesetzlicher und sonstiger Rahmenwerke
Basis: Ø 87 Antworten
Beim Einsatz methodischer Vorgehensweisen und Software-Tools führt die checklistengestützte Schwachstellenanalyse, die bereits 49 % der Teilnehmer nutzen (in Planung bei weiteren 29 %). Auf den Plätzen Zwei bis Vier folgen Verfahren nach dem IT-Grundschutzhandbuch des BSI (45 %), selbstentwickelte Verfahren (40 %) und das IT-Sicherheitshandbuch des BSI (32 %). Das größte Ausbaupotenzial hat dabei der BSI-Grundschutz: nochmals 31 % der Teilnehmer planen zukünftig seine Umsetzung. Eine deutliche Absage haben die Befragten Sicherheitshandbüchern von Softwareherstellern und softwaregestützten Standardmethoden erteilt: jeweils fast drei Viertel äußerten, deren Einsatz sei nicht vorgesehen.
Die drei Top-Nennungen der bei Prüfungen unter ISi-Aspekten einbezogenen Sachgebiete waren bei jeweils mehr als der Hälfte aller Antwortenden das Berechtigungskonzept, der Virenschutz (deutlich gestiegen von 38 % in 2002) und das Notfallkonzept. Am unteren Ende der Skala landeten – bei maximal einem Drittel der Befragten geprüft – die Übereinstimmung der System-Konfiguration mit den Vorgaben sowie Änderungshistorie und Korrektheit von Software (vgl. Tab. 10).
| Prüfung unter ISi-Aspekten von... | ja, bei |
|---|---|
| Berechtigungskonzept | 59 % |
| Virenschutz | 56 % |
| Notfallkonzept | 52 % |
| Netzwerkstrategie/Firewalls | 51 % |
| Datenklassifizierung und Zugriffsrechte | 49 % |
| Ablauforganisation | 47 % |
| physische Sicherheit | 43 % |
| Konzeption und Zielsetzung | 41 % |
| Software-Einsatz | 41 % |
| Aufbauorganisation | 40 % |
| Software-Entwicklung (inkl. Test- und Freigabeverf.) | 35 % |
| Übereinstimmung der System-Konfiguration mit Vorgaben | 33 % |
| Änderungshistorie (Change Management) | 32 % |
| Software (Korrektheit, Fehlerfreiheit usw.) | 30 % |
| Sonstiges | 1 % |
| nichts Derartiges | 24 % |
Tabelle 10: Prüfung unter Aspekten der Informations-Sicherheit
Basis: 147 Antworten
Schwerpunkt der realisierten und geplanten Maßnahmen zur Informations-Sicherheit (Tab. 11) sind bei den Befragten klar die Bereiche von Servern und zentraler IT/TK. Dort findet man einen äußerst hohen Umsetzungsgrad was Datensicherung (99 %), Virenschutz (97 %) und Firewalls (95 %) angeht. Auch auf die physische Sicherheit wird dort deutlich stärker geachtet als dies bei Client-Systemen der Fall ist.
Als Authentifizierungsmethode Nummer Eins muss weiterhin klar das Passwort gelten – weit abgeschlagen folgen Hardware-Token und Chipkarten, wenn auch mit einem gewissen Planungspotenzial bei Clients und mobilen Endgeräten. Eine deutliche Absage erteilen die Befragten der Biometrie: Sowohl zur Authentifizierung beim Rechnerzugriff als auch in Sachen Zutrittskontrolle bleibt sie die große Ausnahme: Je nach Einsatzort und -zweck sagen 93–99 % der Teilnehmer deutlich "Biometrie ist nicht vorgesehen".
Eine gewisse Risikobereitschaft oder notgedrungenen Pragmatismus verheißen hingegen jeweils rund 45 % der Unternehmen, bei denen für PCs und mobile Endgeräte kein Backup vorgesehen ist – es steht zu bezweifeln, dass in allen diesen Fällen eine zentrale Datenhaltung vorliegt, die dafür sorgt, dass auf den Endgeräten keine wichtigen Dateien entstehen oder modifiziert werden. Bei noch weniger Teilnehmern kommen zudem auch Endgeräte in den Genuss einer unterbrechungsfreien Stromversorgung (USV) – hier dürfte der Hintergrund in den bislang sehr positiven Erfahrungen mit dem Versorgungsnetz liegen (s. aber bspw. <kes> 2003#3, S. 6).
Eine bekannte Situation zeigte sich beim Überspannungsschutz: Gut vier Fünftel haben ihre EDV auf der Stromversorgungsseite gesichert – bei Daten- und TK-Leitungen allerdings weiterhin nur rund zwei Fünftel.
Trotz einer heute üblichen hohen Abhängigkeit von Telekommunikations- und Datennetzen ist überdies – vermutlich auch hier nicht zuletzt aufgrund der guten Verfügbarkeitswerte – bei relativ vielen Befragten kein Reserve-Netzzugang zur Überbrückung bei Ausfällen eingerichtet oder vorgesehen. Selbst Server und Zentrale bleiben hier in 36 % der befragten Unternehmen im Falle eines Falles ohne geplante Ersatz-Verbindung zur Außenwelt.
Riskant erscheinen zudem die Aussagen, von bi szu 69 % der Befragten bei WLAN-Verbindungen keine Kryptographie einsetzen zu wollen. Auch sonst liegen die Angaben realisierter Verschlüsselungsmaßnahmen unter den Werten der vorigen Studie. Allerdings sind hier noch etliche Vorhaben in der Planung, besonders zur E-Mail- und Datei-Verschlüsselung sowie dem Chiffrieren ganzer Festplatten auf mobilen Systemen.
Darüber hinaus liegt das größte Planungspotenzial bei der (zentralen) Spam-Abwehr und Intrusion Detection/Prevention sowie der Ausstattung von Endgeräten mit verbessertem Zugangsschutz (Chipkarten und Hardware-Token).
| Server / Zentrale | Clients / Endstellen | mobile Endgeräte | |||||||
|---|---|---|---|---|---|---|---|---|---|
| realisiert | geplant | nicht vorgesehen | realisiert | geplant | nicht vorgesehen | realisiert | geplant | nicht vorgesehen | |
| Firewalls | 95 % | 2 % | 3 % | 43 % | 11 % | 46 % | 41 % | 20 % | 39 % |
| Virenschutzmechanismen | 97 % | 1 % | 2 % | 93 % | 2 % | 5 % | 86 % | 6 % | 8 % |
| Datensicherung (Backup) | 99 % | 1 % | 1 % | 51 % | 4 % | 45 % | 44 % | 11 % | 46 % |
| Intrusion Detection Systems | 44 % | 26 % | 31 % | 13 % | 7 % | 79 % | 7 % | 7 % | 86 % |
| Benutzerverzeichnis mit Security-Policy | 63 % | 13 % | 24 % | 32 % | 11 % | 57 % | 28 % | 7 % | 64 % |
| Authentifizierung | |||||||||
| ... Hardware-Token | 15 % | 9 % | 76 % | 7 % | 14 % | 79 % | 17 % | 17 % | 67 % |
| ... Passwort | 95 % | 1 % | 5 % | 94 % | 2 % | 5 % | 85 % | 1 % | 14 % |
| ... Chipkarte | 11 % | 14 % | 74 % | 7 % | 19 % | 74 % | 10 % | 20 % | 70 % |
| ... biometrische Verfahren | 1 % | 4 % | 95 % | 1 % | 4 % | 95 % | 0 % | 3 % | 97 % |
| Protokollierung unberechtigter Zugriffe | 76 % | 14 % | 10 % | 35 % | 15 % | 50 % | 20 % | 15 % | 65 % |
| Content Inspection/Filtering | 52 % | 15 % | 33 % | 19 % | 11 % | 70 % | 12 % | 10 % | 78 % |
| Spam-Abwehr | 56 % | 28 % | 15 % | 36 % | 16 % | 48 % | 24 % | 16 % | 60 % |
| Verschlüsselung | |||||||||
| ... sensitive Dateien | 41 % | 22 % | 37 % | 31 % | 12 % | 57 % | 39 % | 17 % | 44 % |
| ... Festplatten (kpl./partitionsw.) | 17 % | 18 % | 65 % | 12 % | 13 % | 75 % | 36 % | 22 % | 43 % |
| ... Archivdatenträger/Backups | 23 % | 12 % | 65 % | 8 % | 5 % | 87 % | 8 % | 7 % | 85 % |
| ... LAN/Intranet-Verbindungen | 28 % | 11 % | 61 % | 16 % | 7 % | 77 % | 20 % | 4 % | 76 % |
| ... WLAN-Verbindungen | 24 % | 15 % | 61 % | 18 % | 14 % | 69 % | 24 % | 17 % | 59 % |
| ... WAN/Internet-Verbindungen | 47 % | 8 % | 45 % | 33 % | 8 % | 60 % | 33 % | 10 % | 57 % |
| ... Telefon | 5 % | 3 % | 92 % | 2 % | 1 % | 98 % | 2 % | 0 % | 98 % |
| ... Fax | 4 % | 4 % | 93 % | 2 % | 1 % | 98 % | 2 % | 0 % | 98 % |
| 34 % | 23 % | 43 % | 37 % | 20 % | 43 % | 32 % | 18 % | 49 % | |
| Physische Sicherheit | |||||||||
| ... Zutrittskontrolle, biometrisch | 4 % | 4 % | 93 % | 0 % | 1 % | 99 % | |||
| ... Zutrittskontrolle, sonstige | 81 % | 4 % | 15 % | 45 % | 1 % | 54 % | |||
| ... Bewachung | 49 % | 3 % | 49 % | 26 % | 1 % | 73 % | |||
| ... Video-Überwachung | 39 % | 3 % | 58 % | 11 % | 1 % | 88 % | |||
| ... Einbruchmeldesysteme | 72 % | 4 % | 24 % | 39 % | 4 % | 57 % | |||
| ... Schutz von Glasflächen gegen Durchbruch/Durchwurf | 55 % | 3 % | 41 % | 22 % | 2 % | 77 % | |||
| ... Sicherheitstüren | 76 % | 3 % | 21 % | 25 % | 1 % | 74 % | |||
| ... Brandmeldesysteme | 83 % | 2 % | 15 % | 47 % | 1 % | 52 % | |||
| ... Löschanlagen | 57 % | 3 % | 40 % | 20 % | 2 % | 79 % | |||
| ... andere Meldesysteme (z. B. Gas, Staub, Wasser) | 37 % | 6 % | 57 % | 9 % | 2 % | 89 % | |||
| ... Datensicherungsschränke/-räume | 85 % | 3 % | 12 % | 24 % | 2 % | 75 % | |||
| ... Schutz gegen kompromittierende Abstrahlung (TEMPEST) | 13 % | 1 % | 86 % | 2 % | 2 % | 96 % | 2 % | 1 % | 97 % |
| ... Maßnahmen gegen Hardwarediebstahl | 63 % | 3 % | 33 % | 32 % | 6 % | 63 % | 35 % | 11 % | 54 % |
| physikalisches Löschen von Datenträgern | 53 % | 8 % | 39 % | 30 % | 11 % | 59 % | 26 % | 9 % | 64 % |
| Unterbrechungsfreie Stromversorgung | 91 % | 3 % | 6 % | 17 % | 7 % | 77 % | 8 % | 2 % | 91 % |
| Klimatisierung | 83 % | 3 % | 13 % | 12 % | 3 % | 85 % | |||
| Rückrufautomatik bei Modemzugriff | 47 % | 4 % | 49 % | 20 % | 2 % | 78 % | 21 % | 3 % | 77 % |
| Reserve-Netzzugang (IT/TK) zur Ausfallüberbrückung | 55 % | 9 % | 36 % | 20 % | 3 % | 77 % | 13 % | 1 % | 86 % |
Tabelle 11: Realisierte und geplante Sicherheitsmaßnahmen
Basis: Ø 144 Antworten (Server), Ø 131 (Clients), Ø 124 (mob. Ger.)
Manuelle Administration erfolgt nach wie vor bei sehr vielen Befragten in nennenswertem Umfang: 69 % gaben an, bei Netzwerksystemen häufig "Hand anzulegen", 72 % bei Host- und PC-Systemen. Managementlösungen der jeweiligen Hersteller (vor allem Cisco und Microsoft) sind bei 50 % der Teilnehmer für Netzwerk- beziehungsweise bei 39 % für PC-/Host-Systeme im Einsatz. Mit zentralen Managementlösungen arbeiten in nennenswertem Umfang 36 % der Befragten im Netzwerk und 41 % auf Hosts und PCs (meistgenannt: IBM Tivoli).
Informationen über Sicherheits-Updates beziehen die meisten direkt vom Hersteller: 67 % über aktive Kanäle (push) und 66 % über den offiziellen Internetauftritt. 42 % nutzen "unabhängige" Mailing-Listen auch, um sich über Updates zu informieren, 31 % tun dies über Webseiten Dritter. Derartige passive Kanäle prüfen 54 % der Befragten mindestens einmal in der Woche (vgl. Abb. 10). Zur allgemeinen Information über ISi nutzen die Teilnehmer übrigens vor allem die Mailing-Listen von BSI und Heise vor Bugtraq, CERT CC und Bruce Schneiers Cryptogram.
Als wichtigste Komponenten im Security Management nannten die Teilnehmer eine zentrale Überwachung der Sicherheitssysteme (für 62 % "sehr wichtig", 36 % "wichtig"), eine plattformübergreifende Benutzerverwaltung (56 %/38 %), das Alarm- und Eskalationssystem (42 %/51 %) sowie Virtual Private Networks (VPN, 45 %/39 %). Danach folgen Intrusion Detection, Single Sign-on, Internet-Missbrauchs-Überwachung und Public Key Infrastructure (PKI).
![[ täglich 25%, wöchentlich 28%, monatlich 9%, quartalsweise 3%, seltener/unregelmäßig 28%, gar nicht 6% ]](04-5-006-10.jpg)
Abbildung 10: Prüfintervall passiver Kanäle zu Sicherheits-Updates
Basis: 145 Antworten
Die Abwehr von Malware zeigt bei den Befragten – wenig überraschend – einen enormen Realisierungsgrad auf allen Ebenen, wenngleich bei mobilen Systemen noch ein deutlicher Rückstand besteht. Auch Online-Virenwächter auf PCs liegen neuerdings hoch im Kurs: 52 % der Teilnehmer betreiben solche Dienste (2002 waren es nur 16 %). 37 % halten für nähere Analysen eine isolierte Testumgebung bereit. Prüfsummenprogramme scheinen jedoch völlig aus der Mode gekommen zu sein und sind nur noch bei 7 % vorhanden.
Die mittlere Update-Frequenz von Viren-Mustern beträgt bei Gateways und Serversystemen rund 21 Stunden; auf Desktops (unter Auslassung eines einzelnen Ausreißerwerts) erfolgt das Update im Mittel alle 30 Stunden, auf mobilen Systemen alle 39 Stunden. Die Angaben gehen jedoch weit auseinander und reichen von "in Echtzeit" bis hin zu "einmal in der Woche". Die häufigste Nennung lautet "täglich" und wurde bei Endgeräten von etwa der Hälfte der Befragten geäußert, bei Serversystemen von etwa 40 %.
![[ 26,5% erhalten 10-19% Spam, 19,9% erhalten 20-29% Spam, 19,2% erhalten 0-9% Spam, 12,6% erhalten 30-39% Spam, 6,6% erhalten 40-49% Spam, 15,3% erhalten mehr als 50% Spam ]](04-5-006-11.jpg)
Abbildung 11: Anteil von Spam an der eingehenden E-Mail
Basis: 151 Antworten
Weniger dramatisch als die oftmals publizierten Zahlen vermuten ließen, zeigte sich die Spam-Flut bei den Teilnehmern. Obwohl die Systeme zur Abwehr unerwünschter E-Mails noch längst nicht vollständig realisiert sind (vgl. Tab. 11), liegt der Spam-Anteil im Mittel bei einem knappen Viertel – zwei Fünftel der Befragten haben unter 15 % Spam-Anteil, nur jeder Siebte erhält mehr als 50 % Spam (vgl. Abb. 11). Die weitaus meisten dieser Angaben beruhen zwar auf Schätzungen: Nur 12 % der Teilnehmer ermitteln den tatsächlichen Spam-Anteil. Angesichts der "Nervigkeit" des Spam-Phänomens dürften Schätzungen im Zweifel aber eher zu hoch als zu niedrig ausfallen.
Die Bereitschaft, E-Mails zu chiffrieren, sofern ein Krypto-Schlüssel des Empfängers vorliegt, ist im Vergleich zur vorigen Studie leicht gestiegen: 47 % der Befragten würden dann zumindest sensitive Nachrichten verschlüsseln (+3 Prozentpunkte), 12 % die externe Kommunikation (-1 Prozentpunkt), 6 % alle Nachrichten (+2 Prozentpunkte). Auch dieses Jahr lag dabei OpenPGP als verwendeter Standard klar vor S/MIME – und zwar wiederum im Verhältnis 2:1.
Weiterhin eine Seltenheit sind elektronische Signaturen: Nur rund ein Viertel der Teilnehmer nutzt sie zur Authentifizierung interner Kommunikation, 22 % im B2B-Segment – Haupteinsatzort ist dabei der Webserver (vgl. Tab. 12). Betrachtet man die vorhandene und geplante Infrastruktur, so zeigen sich auch hier keine großen Veränderungen: Wo überhaupt signiert wird, sind Software-Lösungen deutlich dominant, Chipkarten und Hardware-Token folgen mit deutlichem Abstand und geringerem Realisierungsgrad. Höherwertige Chipkarten-Terminals mit gesicherter PIN-Eingabe oder eigenem Display sowie höherwertige Signaturen gemäß Signaturgesetz bleiben nach wie vor die große Ausnahme.
| Elektr./dig. Signaturen sind im Einsatz bei... | WWW (SSL) | Applikationen | nein | |
|---|---|---|---|---|
| zur Authentifizierung interner Kommunikation? | 13 % | 12 % | 9 % | 75 % |
| bei B2B-Kommunikation? | 9 % | 13 % | 8 % | 78 % |
| bei B2C-Kommunikation? | 5 % | 13 % | 5 % | 83 % |
| im E-Government? | 5 % | 3 % | 1 % | 92 % |
Tabelle 12: Einsatz elektronischer Signaturen
Basis: Ø 145 Antworten
In Sachen Public Key Infrastructure hat sich mit knapp 29 % der Anteil der Teilnehmer wiederum etwas erhöht, die bereits eine PKI nutzen. Haupteinsatzbereiche bleiben dabei E-Mail-Verschlüsselung, VPN und die Sicherung von Telearbeitsplätzen und Remote Access sowie ferner Datei-Verschlüsselung; mit geringerem aktuellen Umsetzungsgrad folgen der Schutz von Web-Zugriffen sowie Zugriffsrechteverwaltung und Single-Sign-on.
Eine regelmäßige Auswertung von Protokollen an der Schnittstelle zum Internet führen 60 % für (zentrale) Anti-Virus-Logfiles durch, 58 % tun dies bei Firewalls – Intranet-Firewalls und -Virenscanner werden zwar etwas seltener, aber dennoch von den meisten Teilnehmern regelmäßig geprüft. Für Netzwerkkomponenten und Betriebssysteme erfolgt die Auswertung hingegen überwiegend anlassbezogen (s. Tab. 13). Bedenklich erscheint, dass mehr als ein Drittel der Befragten an der Netzwerkgrenze keine Protokollierung oder Logfile-Auswertung von Web- und E-Commerce-Applikationen vornimmt.
| Logfile-Auswertung bei ... erfolgt... | min. 2x pro Woche | seltener, aber regelmäßig | anlassbezogen | keine Auswertung / Protokollierung |
|---|---|---|---|---|
| Antivirus-Lösungen | 40 % | 20 % | 33 % | 7 % |
| Firewall(s) | 36 % | 22 % | 35 % | 7 % |
| Netzkomponenten (Router, Switches etc.) | 14 % | 17 % | 43 % | 25 % |
| Betriebssysteme | 12 % | 23 % | 48 % | 17 % |
| Web-/E-Commerce-Applikationen | 11 % | 22 % | 32 % | 35 % |
Tabelle 13: Auswertung von Logfiles an der Schnittstelle zum Internet
Basis: Ø 127 Antworten
Die für Katastrophenfälle wesentliche räumliche Trennung wichtiger IT-Komponenten vollziehen die Teilnehmer vor allem durch Nutzung separater Gebäude: Beispielsweise haben 49 % ihr Auslagerungsarchiv in einem anderen Gebäude untergebracht, 20 % zumindest in einem getrennten Brandabschnitt, nur 14 % hingegen bei einem Kooperationspartner oder externen Dienstleister – 17 % haben keinerlei räumliche Trennung vorgesehen. Bei Robotersystemen, gespiegelten Daten und zusätzlichen Rechnern oder Clustern zeigte sich seltener eine räumliche Trennung (bei insges. 48–61 %), allerdings mit derselben Priorität der hierfür genutzten Örtlichkeiten.
Für längere Ausfälle haben rund 72 % bereits eine Vorsorgemaßnahme für Unternehmensserver oder Mainframes realisiert, 56 % auch für Abteilungsserver und PCs. Der größte Anteil von bereits umgesetzten Maßnahmen ist dabei jeweils der Abschluss einer entsprechenden Versicherung, gefolgt von Verträgen über die schnelle Lieferung von Hardware. Platz Drei unterscheidet sich hingegen: Für die zentrale IT wurden hier Cluster oder Load-Balancing-Lösungen eingerichtet, für Abteilungssysteme "kalte" Räume bereitgestellt (also Ersatzräume ohne Equipment).
Bezieht man geplante, aber noch nicht umgesetzte Vorsorgemaßnahmen mit ein, so stehen Cluster und Ersatzlieferungen für die zentrale IT auf Rang Eins und auch bei den Abteilungssystemen "überholen" Ersatzbeschaffungsvereinbarungen die klassische Ausfall-Versicherung (vgl. Abb. 12). Von 32 Teilnehmern, die auf unsere Frage nach der Inanspruchnahme eines Recovery-Vertrags geantwortet haben, mussten übrigens gleich zwei diese tatsächlich schon mehrfach nutzen – die anderen 30 blieben bislang jedoch vom "Ernstfall" verschont.
Bei der Notfall-Dokumentation dominiert nach wie vor das manuelle Handbuch, das bei 50 % der Teilnehmer im Einsatz ist (weitere 28 % haben es in Arbeit oder geplant). Der Anteil genutzter oder in Arbeit befindlicher Online-Anwendungen oder online-gestützer Handbücher ist zwar im Vergleich zur vorigen Studie um sechs beziehungsweise vier Prozentpunkte gestiegen, bleibt aber dennoch deutlich hinter den klassischen Systemen zurück, selbst wenn man jeweils das Fünftel der Befragten hinzuzählt, die ein entsprechendes Produkt für die Zukunft planen. Die Aktualisierung der Dokumentation erfolgt bei 87 % der Befragten nur anlassbezogen, bei 8 % niemals. Lediglich 5 % gaben an, dieses wichtige Dokument regelmäßig auf dem Laufenden zu halten.
![[meistgenannt: zentrale IT realisiert: Vesicherung abgeschlossen 44%, zentrale IT realisiert+geplant: Verträge über schnelle Lieferung von HW 50%, Abteilungs-IT realisiert: Vesicherung abgeschlossen 32%, Abteilungs-IT realisiert+geplant: Verträge über schnelle Lieferung von HW 39% ]](04-5-006-12.jpg)
Abbildung 12: Bereitstellungen für längere Ausfälle bei Unternehmensservern und Mainframes
Basis: 148 Antworten
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2004#5, Seite 6
| 