[ Aufmachergrafik: heller, corporate design ] Lagebericht zur Informations-Sicherheit (2)

Ordnungsmerkmale

erschienen in: <kes> 2004#5, Seite 6

Rubrik: Management und Wissen

Schlagwort: <kes>/Microsoft-Sicherheitsstudie

Zusammenfassung: Verlässliche Zahlen zur Informations-Sicherheit sind selten. Alle zwei Jahre ergründet die <kes> daher mit Unterstützung namhafter Unternehmen die Lage der Informations-Sicherheit im deutschsprachigen Raum. Auch 2004 haben hochkarätige Teilnehmer den <kes>-Fragebogen als Checkliste für ihre eigene Sicherheit genutzt und damit gleichzeitig wertvolle Daten geliefert.

Die <kes>/Microsoft-Sicherheitsstudie ist die zehnte <kes>-Studie, die durch die vertrauensvollen und umfassenden Antworten ihrer Teilnehmer sowie die Unterstützung von Sponsoren und Partnern tiefe Einblicke in die Informations-Sicherheit (ISi) des deutschsprachigen Raums ermöglicht – dafür vielmals Dankeschön. In diesem Jahr sind 163 Fragebögen eingegangen. Der erste Teil der Auswertung ist bereits im August in <kes> 2004#4 erschienen; die wichtigsten Kernpunkte des zweiten Teils lauten:

----------Anfang Textkasten----------

Vielen Dank für freundliche Unterstützung

Die folgenden Unternehmen fördern die Durchführung unserer aktuellen Sicherheitsstudie:
[Logos: Microsoft, Aladdin, CLEARSWIFT, DIM, entrada, GROUP Technologies, INFO AG, Lampertz, NOKIA, Paket Alarm, ROG, »|secaron, SOLSOFT, SOPHOS, T-Systems, UIMC]

Microsoft Aladdin Clearswift DIM entrada GROUP INFO AG Lampertz NOKIA Packet Alarm (Varysys) ROG secaron SOLSOFT SOPHOS T-Systems UIMC

Für zusätzliche Anregungen und Hinweise bedanken wir uns beim Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie bei der Hans-Joachim Gaebert Unternehmensberatung. Weiterhin gilt unser Dank allen Teilnehmern an der Befragung, die durch ihre wertvolle Mitarbeit ein sinnvolles Gesamtbild entstehen ließen.

Logo: humanIT Infozoom Die Auswertung der <kes>/Microsoft-Sicherheitsstudie erfolgte inklusive Erstellung der Ergebnistabellen und aller Grafiken größtenteils mit dem interaktiven Analysewerkzeug InfoZoom. Wir bedanken uns bei humanIT ([externer Link] www.humanit.de) für die freundliche Unterstützung in technisch-organisatorischer Hinsicht.

----------Ende Textkasten----------

Organisation

Bei der Frage nach den Verantwortlichkeiten in Sachen Informations-Sicherheit (ISi) sind die bedeutendsten Positionen der zentrale ISi-Beauftragte und der Leiter der Informations-/Datenverarbeitung (IV/DV bzw. RZ-Leiter): 58 % der Befragten haben einen zentralen ISi-Beauftragten (Tab. 1), der dort naturgemäß die Formulierung der ISi-Ziele, Risikoanalysen und Konzepte sowie die Business Continuity dominiert. Wo es keinen zentralen ISi-Beauftragen gibt, übernimmt vor allem der Leiter IV/DV/RZ wesentliche Teile der Sicherheitsverantwortung, aber auch Top-Management und Administratoren nehmen in diesen Unternehmen verstärkt Sicherheitsaufgaben wahr. Einen durchweg besonders hohen Anteil haben die Leiter IV/DV/RZ an Notfall- und Eskalationsmaßnahmen sowie Business Continuity: Hierbei stehen sie bei knapp 43 % der Befragten in der Pflicht, während zentrale ISi-Beauftragte "nur" von rund 35 % für diesen Bereich als (mit-)verantwortlich benannt wurden.

Gibt es im Unternehmen... ? ja, bei
zentraler ISi-Beauftragter 58 %
dezentraler ISi-Beauftragter 12 %
zentraler Datenschutzbeauftragter 60 %
dezentraler Datenschutzbeauftragter 10 %
ISi-Ausschuss (o. Ä.) 13 %
Leiter IV/DV/RZ 70 %
IV/DV-Revision 35 %
Leiter Sicherheit/Werkschutz 31 %
DV-orientierter Jurist 10 %

Tabelle 1: Vorhandene Posten
Basis 145 Antworten

Insgesamt liegt die Verantwortung für Sicherheitsaufgaben allerdings häufig nicht nur bei einer Person – bei vorhandenem zentralen ISi-Beauftragten sogar noch seltener als in den Organisationen, wo dieser Posten nicht existiert. Bei der Prüfung und Einhaltung gesetzlicher Vorgaben tragen zentrale Datenschutzbeauftragte (vorhanden bei 43 % der Teilnehmer) sogar häufiger (Mit-)Verantwortung als zentrale ISi-Beauftragte. Die Revision wirkt dabei naturgemäß auch verstärkt mit; darüber hinaus wird dieser Funktionsbereich vor allem bei Risiko- und Sicherheitsanalysen mit einbezogen. Bei der (Mit-)Verantwortlichkeit für die Sensibilisierung und Schulung der Anwender folgen dem zentralen ISi-Beauftragten (29 %) die Administratoren (22 %) und der Benutzerservice (21 %).

Dass Sicherheitsaspekte bei der Beschaffung und Inbetriebnahme von IT-Systemen von immerhin 35 % der Befragten als Hauptkriterium genannt wurden (vgl. Abb. 1), schlägt sich nicht in der Verantwortlichkeit für Beschaffung und Betrieb nieder: Dies ist klar die Domäne der Leiter IV/DV/RZ – ISi-Beauftragte haben dort nur bei rund 3–6 % der Unternehmen eine Mitverantwortung. Immerhin gaben 38 % der Teilnehmer an, dass die Erfüllung von ISi-Anforderungen als Voraussetzung für die Inbetriebnahme auch verifiziert wird – diese Gruppe ist allerdings überraschenderweise nur zu rund zwei Dritteln deckungsgleich mit der Nennung von Sicherheitsaspekten als Hauptkriterium.

[ Sicherheitsaspekte sind bei der Beschaffung... ein Hauptkriterium 35%, eher zweitrangig 49%, eher unbedeutend 17% ]
Abbildung 1: Bedeutung von Sicherheitsaspekten bei der Beschaffung von IT-Systemen
Basis: 156 Antworten

Outsourcing / Beratung

Mit nur 52 % lag heuer der Anteil der Befragten, die Outsourcing in der einen oder anderen Form betreiben deutlich niedriger als vor zwei Jahren (2002 waren es 73 %). Neben der Entsorgung von Datenträgern sind dabei weiterhin Managed Firewalls/IDS beliebt, gefolgt von extern gepflegten Netzwerken und Betriebssystemen (vgl. Tab. 2). Service-Level-Agreements (SLAs) haben in der Outsourcing-Stichprobe eine etwas stärkere Bedeutung als bei den 2002 Befragten: Drei Viertel der Outsourcing-Geber haben ein SLA abgeschlossen, 69 % auch mit expliziten Anforderungen an die ISi (2002: 60 %), Datenschutzanforderungen sind sogar bei 74 % der Unternehmen enthalten, für die diese Thematik relevant erschien. Ein knappes Drittel der SLAs enthalten zudem ein regelmäßiges Kontrollrecht.

Genutzte Outsourcing-Dienstleistungen ja, von
Entsorgung von Datenträgern (Papier, EDV) 63 %
Managed Firewall/IDS 32 %
Betriebssystempflege 29 %
Netzwerk-Management 28 %
Datensicherung, Backup-Lösungen 26 %
gesamtes Rechenzentrum 23 %
Datenbank-Systeme, Werkzeuge 23 %
Online-Anwendungssysteme 21 %
Sonstiges 18 %
Auftragsentwurf, Arbeitsvorbereitung, Operating 15 %
Notfallvorsorge/Business Continuity 15 %
Verwaltung, Dokumentation, Archivierung 13 %
Personaleinsatz, Personalentwicklung, Mitarbeiterweiterbildung 13 %
Haustechnik 13 %
Überwachung, Kontrolle, Qualitätssicherung 12 %
Datenschutz gemäß BDSG 11 %

Tabelle 2: Outsourcing-Dienstleistungen
Basis: 82 Outsourcing-Geber

Bei der Nutzung von Beratungsdienstleistungen zeigt sich ein ähnliches Bild wie vor zwei Jahren: 53 % der Befragten nutzen gelegentlich Consultants, 6 % tun dies regelmäßig. Haupt-Aufgabe der Berater waren dabei Risikoanalysen und Konzeptentwicklung sowie Penetrationstests und sonstige Schwachstellenanalysen (s. a. Tab. 3). Die Zufriedenheit mit den Beratungsleistungen hat sich im Vergleich zur vorigen Studie sogar noch etwas verbessert (vgl. Abb. 2): Bei weiterhin nur 3 % unzufriedenen Kunden zeigten sich heuer sogar 51 % uneingeschränkt zufrieden (2002: 49 %).

Genutzte Beratungs-Dienstleistungen ja, von
Risikoanalysen und Konzeptentwicklung 55 %
Penetrationstests 48 %
Schwachstellenanalysen 44 %
Strategie- und Managementberatung 35 %
Kontrolle vorhandener Konzepte auf Eignung und Einhaltung 31 %
Umsetzung von Konzepten und Maßnahmen 28 %
Sonstiges 6 %

Tabelle 3: Beratungsdienstleistungen
Basis: 95 Beratungs-Kunden

[ ohne Einschränungen zufrieden 51%, eingeschränkt zufrieden 46%, nicht zufrieden 3% ]
Abbildung 2: Zufriedenheit mit Beratungsdienstleistungen
Basis: 95 Antworten

Erstmals haben wir in dieser <kes>-Studie nach Computer Emergency (CERTs) und Security Incident Response Teams (CSIRTs) gefragt: 23 % der Teilnehmer nutzen externe CERT/CSIRT-Dienstleistungen; allerdings nur ein gutes Drittel davon kostenpflichtige Leistungen. Ein eigenes CERT oder CSIRT betreiben 19 % der Befragten.

Versicherungen

Bei der Risikoabwälzung auf Versicherungen lagen die "Klassiker" klar vorne: 79 % der Teilnehmer haben eine Feuerversicherung abgeschlossen (gut jeder Zwanzigste davon musste diese auch bereits in Anspruch nehmen), 69 % haben eine Sachversicherung, die sogar schon bei fast zwei Fünftel ihrer Versicherten einmal einspringen musste (Tab. 4).

Zertifikate und Audits scheinen im Zusammenhang mit Versicherungen derzeit dennoch nur eine Randerscheinung zu sein: Nur 2 % bejahten unsere Frage, ob sie für den Abschluss mindestens einer Versicherung ein ISi-Audit durchlaufen oder ein anerkanntes ISi-Zertifikat vorlegen mussten. Bei möglichen Rabatten sah es nicht viel anders aus: 7 % wussten von günstigeren Konditionen mindestens einer ihrer abgeschlossenen Versicherungen zu berichten, falls freiwillig eine solche Überprüfung durchlaufen würde.

Versicherungen abgeschlossen von bereits beansprucht (Nennungen)
Feuerversicherung 79 % 6
Sachversicherung 69 % 33
"Technologie-Police" o.ä. (Kombination von Elektronik- u. Maschinenversicherung) 19 % 3
Computermissbrauch-Versicherung 11 % 0
Datenmissbrauch-Versicherung 7 % 0
Datenrechtsschutz-Versicherung 7 % 0
Sonstige 5 % 2
Datenversicherung/Softwareversicherung 3 % 3
Elektronik-Betriebsunterbrechungsversicherung 3 % 3
erw. Datenversicherung (inkl. Schäden durch Viren, fehlerhaftes Programmieren, versehentliches Löschen) 1 % 1
Mehrkostenversicherung 1 % 1
keine 22 %  

Tabelle 4: Versicherungen
Basis: Ø 101 Antworten

Konzepte

Der Anteil der Befragten mit einer schriftlich fixierten Strategie zur Informations-Sicherheit ist im Vergleich zu 2002 erfreulicherweise um vier Prozentpunkte auf jetzt 60 % gestiegen; auch bezüglich des Vorhandenseins eines integrierten Sicherheitshandbuchs liegen die Angaben mit 31 % deutlich über dem Ergebnis der vorigen Studie. Gleichzeitig sind bezogen auf die gesamte Stichprobe die Zahlen bezüglich spezifischer schriftlicher Konzepte und Richtlinien zu Detailthemen um vier bis neun Prozentpunkte gesunken – Spitzenreiter sind erneut Richtlinien zur Internet- und E-Mail-Nutzung (bei 77 % der Befragten vorhanden), Schlusslicht bleiben mit wiederum nur 33 % Nennungen Richtlinien zur Verschlüsselung (Tab. 5).

  eingegrenzt auf Unternehmen
mit ohne
Gibt es im Unternehmen... ? ja, bei ISi-Strategie
schriftlich fixierte IV-Strategie 56 % 83 % 16 %
schriftlich fixierte ISi-Strategie 60 % 100 % 0 %
umfassendes, integriertes Sicherheitshandbuch 31 % 48 % 8 %
schriftlich fixierte spezifische ISi-Konzepte/-Richtlinien...
... zum Einsatz von Verschlüsselung 33 % 47 % 13 %
... zur Handhabung sensitiver/ kritischer Daten 61 % 78 % 37 %
... zur Nutzung von Internet, E-Mail, ... 77 % 91 % 54 %
... zum Softwareeinsatz auf PCs 70 % 84 % 49 %
... zur Nutzung mobiler Endgeräte (Notebook, PDA, ...) 54 % 72 % 30 %
... Sonstige 26 % 45 % 9 %
Eignung von Konzepten/Richtlinien wird geprüft 66 % 86 % 39 %
schriftlich formulierte Maßnahmen 65 % 92 % 34 %
Einhaltung vorgesehener Maßnahmen wird geprüft 69 % 86 % 40 %

Tabelle 5: Strategien, Richtlinien und Konzepte
Basis: Ø 157 Antworten (exist. Maßnahmen: 102), Ø 155 (Prüfung)

Ein EDV-Notfall- und Wiederanlaufkonzept existiert bei 82 % der Teilnehmer – allerdings nur bei einem Fünftel davon in verifizierter und validierter Form. Mehr als zwei Fünftel haben dieses Konzept hingegen nicht einmal schriftlich niedergelegt, was wohl Zweifel an seiner Tragfähigkeit im Falle eines Falles aufwirft. Der Anteil der "überlieferten" Notfallkonzepte stieg damit gegenüber 2002 um 10 Prozentpunkte, während validierte Konzepte um 10 Prozentpunkte zurückgingen (Inhalte von Notfallkonzepten s. Abb. 3).

[meistgenannt: Hardware-Ausfall/-Wiederbeschaffung 84%, physische Einwirkungen 72%, Viren/Würmer/Exploits 68% ]
Abbildung 3: Berücksichtigung spezieller Anforderungen im EDV-Notfall-/Wiederanlaufkonzept
Basis: Ø 123 Antworten

Gesunken ist auch die Bereitschaft, Konzepte, Richtlinien und Maßnahmen zu überprüfen: Während vor zwei Jahren nur 24 % die Einhaltung vorgesehener Maßnahmen nicht geprüft haben, sind dies heuer 31 % (Tab. 6) – bezogen auf die gesamte Stichprobe verzichten sogar 34 % aktuell auf die Prüfung der fortdauernden Eignung von Konzepten und Richtlinien (Tab. 7; 2002 waren das nur 16 %).

Die Einhaltung vorgesehener Maßnahmen wird geprüft... ja, bei
durch die eigene Sicherheitsabteilung 33 %
durch die Revision 32 %
durch Sonstige 11 %
durch externe Sicherheitsberater 9 %
nein, sie wird nicht geprüft 31 %

Tabelle 6: Prüfung vorgesehener Maßnahmen
Basis: 159 Antworten

 

Die (fortdauernde) Eignung von Konzepten/Richtlinien wird geprüft mithilfe von... ja, bei
(erneuten) Risikoanalysen 44 %
(erneuten) Schwachstellenanalysen 40 %
Übungen (Notfall, Wiederanlauf) 32 %
Penetrationsversuchen 32 %
Simulationen oder Szenarien 13 %
Sonstiges 8 %
nein, es erfolgt keine Überprüfung 34 %

Tabelle 7: Prüfung der Eignung von Konzepten und Richtlinien
Basis: 157 Antworten

Betrachtet man die Antworten auf diese Fragen getrennt für die Unternehmen mit schriftlicher Sicherheits-Strategie, so zeigt sich – wenig verwunderlich – eine insgesamt höhere Bereitschaft, Konzepte und Maßnahmen schriftlich zu fixieren und anschließend zu prüfen (vgl. Tab. 5). Dennoch bleiben auch bei diesem Teil der Stichprobe noch 14 %, die nach der Festlegung von Konzepten, Richtlinien und Maßnahmen keine weiteren Prüfungen durchführen (zur Reichweite s. Abb. 4).

[ alle geschäftskritischen Systeme 34,5%, einzelne Systeme 55,2%, nicht bekannt 10,3%]
Abbildung 4: Reichweite der Eignungs-Überprüfung von Konzepten und Richtlinien
Basis: 116 Antworten

Wie riskant fehlende (fortdauernde) Prüfungen sind, belegen jedoch eindrücklich die Zahlen der bei Überprüfungen zu Tage tretenden Probleme: In 75 % der Fälle wurden dabei Schwachstellen gefunden – und das sah bei Unternehmen mit schriftlicher Strategie nicht anders aus als bei denen ohne.

Open Source Software

Der Einsatz von Open Source Software (OSS) ist unter den Befragten weit verbreitet: Zwei Drittel nutzen OSS. Obwohl mit 59 % der größte Teil Open Source für sicherer hält als Produkte mit nicht-offengelegtem Quelltext (vgl. Abb. 5), liegt der Hauptgrund für den OSS-Einsatz doch beim Geld: 50 % gaben an, Open Source aus Kostengründen zu verwenden, nur 31 % wegen der Sicherheit. Weitere genannte Beweggründe waren beispielsweise mögliche Anpassungen oder bestehende Funktionen, Leistungsfähigkeit, Interoperabilität, Unabhängigkeit von Herstellern oder ideologische Gründe.

[sicherer 59%, gleich sicher 32,5%, weniger sicher 8,5%]
Abbildung 5: Einschätzung der Sicherheit von Open Source Software
Basis: 151 Antworten

Heterogenität

Zugenommen hat der Einsatz von Produkten mehr als eines Herstellers bei Anti-Virus-Systemen: Vor zwei Jahren lag der Anteil der Befragten, die auf einen einzelnen Anbieter gesetzt haben, noch um neun Prozentpunkte höher als dieses Mal. Heuer setzen bereits 47 % die Lösungen zweier Anbieter in Kombination ein, um die Sicherheit der Malware-Abwehr zu verbessern, 13 % nutzen sogar drei oder mehr unterschiedliche Produkte auf verschiedenen Systemen oder Netzwerksegmenten. Erstmals haben wir dieses Jahr auch nach der Heterogenität in anderen Bereichen gefragt und hier bei Server-Betriebssystemen und Applikations-Servern ebenfalls einen deutlichen Anteil heterogener Architekturen gefunden (s. Tab. 8).

Im Einsatz sind Lösungen von ... einem Anbieter zwei Anbietern drei und mehr Anbietern
Anti-Virus-Software 40 % 47 % 13 %
Firewalls 64 % 28 % 8 %
Router 65 % 22 % 13 %
Server-Betriebssysteme 44 % 32 % 24 %
Web-Server 66 % 24 % 10 %
Applikations-Server 49 % 29 % 22 %

Tabelle 8: Heterogenität aus Sicherheitsgründen
Basis: Ø 142 Antworten

Evaluierungen

Der Bekanntheitsgrad der drei von uns bereits in der vorigen Studie erfragten internationalen Kriterienwerke ITSEC, Common Criteria (CC) und BS 7799 (bzw. ISO 17799) ist ungefähr so groß wie vor zwei Jahren – CC und BS 7799 sind noch immer rund einem Fünftel der Teilnehmer unbekannt. Gestiegen ist allerdings der Anteil derjenigen Teilnehmer, welche die Kriterien kennen und sich damit auch näher befasst haben, vor allem beim BS 7799, wo heuer 13 Prozentpunkte mehr zu verzeichnen sind als noch vor zwei Jahren. Erstmals gefragt haben wir nach ITIL und COBIT sowie dem US-Standard FIPS 140, der aber offenkundig im deutschsprachigen Raum keine nennenswerte Akzeptanz findet (vgl. Abb. 6).

[ITSEC 85%, Common Criteria 79%, BS 7799 78%, FIPS 140 47%, ITIL 74%, COBIT 67% ]
Abbildung 6: Bekanntheitsgrad internationaler ISi-Kriterien
Basis: Ø 149 Antworten

Gestiegen ist hingegen mit der näheren Betrachtung der allgemeinen Kriterien zur Evaluierung auch der Einsatz evaluierter Produkte: Mit 39 % der Teilnehmer setzen fünf Prozentpunkte mehr als 2002 mindestens ein zertifiziertes Sicherheitsprodukt ein; ihre Erwartungen an Nutzen und Zuverlässigkeit dieser Produkte sahen – wie schon vor zwei Jahren – wiederum rund zwei Drittel als erfüllt an.

Eine klare Absage haben die Befragten heuer jedoch Mehrkosten für Sicherheitszertifikate erteilt: Während vor zwei Jahren noch 78 % der Antwortenden meinten, ein zertifiziertes Produkt rechtfertige einen höheren Preis, so sprach sich in der heute offenkundig angespannten finanziellen Lage sogar eine schwache Mehrheit gegen diese Aussage aus – nur noch 44 % sehen einen höheren Preis nunmehr als gerechtfertigt an.

Diese Ablehnung könnte auch einer der Gründe sein, warum dieses Jahr weniger Teilnehmer sich bezüglich des künftigen Einsatzes zertifizierter Lösungen unentschlossen zeigten: 26 % äußerten eine klares Nein zum bevorzugten Einsatz evaluierter Produkte (2002: 13 %), 24 % bejahten dies allerdings auch ebenso klar (2002: 23 %).

Risikobewertung

70 % der befragten Unternehmen führen eine Risikobewertung von Anwendungen und Systemen hinsichtlich ihrer Bedeutung für die Aufgabenerfüllung durch (vgl. Abb. 7); gut ein Fünftel der Teilnehmer prüft dabei alle Systeme. Diese Werte sind praktisch identisch mit dem Ergebnis von 2002. Deutlich verändert haben sich hingegen die Kriterien, die dabei vorrangig herangezogen werden: Bei weiterhin geringem Abstand verdrängt die Bedeutung möglicher Verstöße gegen Gesetze, Vorschriften und Verträge die Angst vor Imageverlust von Platz Eins der Skala. Um zwei Plätze höher bewertet haben die Teilnehmer dieses Jahr zudem Haftungsansprüche und Schäden bei Dritten (Tab. 9).

[für alle Systeme 21,3%, für einzelne Systeme 48,4%, keine Risikobewertung 30,3% ]
Abbildung 7: Reichweite der Risikobewertung
Basis: 155 Antworten

Kriterien zur Risikobewertung sehr wichtig wichtig unwichtig Vgl.-Wert Vgl.-Wert 2002
Verstöße gegen Gesetze, Vorschriften oder Verträge 48 % 44 % 8 % 1,40 1,47
Imageverlust 50 % 36 % 15 % 1,35 1,51
Schaden bei Dritten/Haftungsansprüche 43 % 42 % 16 % 1,27 1,11
direkter finanzieller Schaden durch Manipulationen an finanzwirksamen Informationen 38 % 49 % 12 % 1,26 1,36
Verzögerung von Arbeitsabläufen 33 % 55 % 12 % 1,21 1,35
indirekte finanzielle Verluste (z.B. Auftragsverlust) 36 % 42 % 22 % 1,14 0,98
direkter finanzieller Schaden an Hardware u. ä. 12 % 50 % 37 % 0,75 0,97
Verstöße gegen interne Regelungen 9 % 54 % 37 % 0,72 0,85

Tabelle 9: Kriterien zur Risikobewertung
Basis Ø 135 Antworten

Gesetze und sonstige Rahmenwerke

Die nochmals gestiegene Priorität von Gesetzen und Verträgen für die Risikobewertung beziehen die Befragten anscheinend vorrangig auf Verträge – zumindest ist ein gesteigerter Bekanntheitsgrad wichtiger Gesetze nicht feststellbar (Abb. 8): Beispielsweise geben auch in diesem Jahr 48 % der Befragten an, das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) nicht zu kennen, die Vorschriften des Teledienste- und Telekommunikationsrechts sind 45 % beziehungsweise 33 % der Befragten unbekannt, obwohl sie große Bedeutung für die Protokollierung auf Firewalls, Web- und Mail-Servern sowie für die E-Mail-Bearbeitung im Allgemeinen haben.

[bekannt/relevant: BDSG 87% / 81%, TKG/TDSV/TKÜV 67% / 56%, TDG/TDDSG 55% / 52%, ZKDSG 19% / 11%, SigG/SigV 65% / 37%, KonTraG 52% / 36%, GDPdU 49% / 46%, Basel II 62% / 34% ]
Abbildung 8: Bekanntheitsgrad und geäußerte Relevanz gesetzlicher und sonstiger Rahmenwerke
Basis: Ø 144 Antworten (Bekanntheit), Ø 134 (Relevanz)

Immerhin sind aber die Angaben zum Umsetzungsgrad der meisten Bestimmungen etwas fortgeschrittener als 2002: Abgesehen von Rückschritten beim – in Bekanntheit und Umsetzung klar vorne liegenden – Bundesdatenschutzgesetz (BDSG) und auch beim KontraG zeigten sich ein höherer Anteil umfassender Umsetzung sowie weniger Unternehmen mit nur geringer Umsetzung (naturgemäß beruhen diese Angaben auf einer reduzierten Stichprobe, da die Umsetzung eines unbekannten bzw. als irrelevant angesehenen Gesetzes nur selten erfolgt).

Dennoch kann der Grad der "regulatorischen Compliance" insgesamt wohl nur als ungenügend gelten, wenn beispielsweise noch immer jedes zweite Unternehmen die größtenteils als relevant angesehenen Bestimmungen des BDSG nur "teilweise oder gering" umsetzt. Bei Telekommunikations- und Teledienstegesetzen sieht es noch deutlich schlechter aus, wenn bislang selbst in der verringerten Stichprobe, die hier eine Relevanz erkannt hat, nur etwa jeder Dritte "umfassend" reagiert (vgl. Abb. 9).

[ umfassend umgesetzt: BDSG 50%, TKG/TDSV/TKÜV 31%, TDG/TDDSG 33%, ZKDSG 12%, SigG/SigV 13%, KonTraG 30%, GDPdU 25%, Basel II 21% ]
Abbildung 9: Umsetzungsgrad gesetzlicher und sonstiger Rahmenwerke
Basis: Ø 87 Antworten

Tools und Vorgehensweisen

Beim Einsatz methodischer Vorgehensweisen und Software-Tools führt die checklistengestützte Schwachstellenanalyse, die bereits 49 % der Teilnehmer nutzen (in Planung bei weiteren 29 %). Auf den Plätzen Zwei bis Vier folgen Verfahren nach dem IT-Grundschutzhandbuch des BSI (45 %), selbstentwickelte Verfahren (40 %) und das IT-Sicherheitshandbuch des BSI (32 %). Das größte Ausbaupotenzial hat dabei der BSI-Grundschutz: nochmals 31 % der Teilnehmer planen zukünftig seine Umsetzung. Eine deutliche Absage haben die Befragten Sicherheitshandbüchern von Softwareherstellern und softwaregestützten Standardmethoden erteilt: jeweils fast drei Viertel äußerten, deren Einsatz sei nicht vorgesehen.

Die drei Top-Nennungen der bei Prüfungen unter ISi-Aspekten einbezogenen Sachgebiete waren bei jeweils mehr als der Hälfte aller Antwortenden das Berechtigungskonzept, der Virenschutz (deutlich gestiegen von 38 % in 2002) und das Notfallkonzept. Am unteren Ende der Skala landeten – bei maximal einem Drittel der Befragten geprüft – die Übereinstimmung der System-Konfiguration mit den Vorgaben sowie Änderungshistorie und Korrektheit von Software (vgl. Tab. 10).

Prüfung unter ISi-Aspekten von... ja, bei
Berechtigungskonzept 59 %
Virenschutz 56 %
Notfallkonzept 52 %
Netzwerkstrategie/Firewalls 51 %
Datenklassifizierung und Zugriffsrechte 49 %
Ablauforganisation 47 %
physische Sicherheit 43 %
Konzeption und Zielsetzung 41 %
Software-Einsatz 41 %
Aufbauorganisation 40 %
Software-Entwicklung (inkl. Test- und Freigabeverf.) 35 %
Übereinstimmung der System-Konfiguration mit Vorgaben 33 %
Änderungshistorie (Change Management) 32 %
Software (Korrektheit, Fehlerfreiheit usw.) 30 %
Sonstiges 1 %
nichts Derartiges 24 %

Tabelle 10: Prüfung unter Aspekten der Informations-Sicherheit
Basis: 147 Antworten

Maßnahmen

Schwerpunkt der realisierten und geplanten Maßnahmen zur Informations-Sicherheit (Tab. 11) sind bei den Befragten klar die Bereiche von Servern und zentraler IT/TK. Dort findet man einen äußerst hohen Umsetzungsgrad was Datensicherung (99 %), Virenschutz (97 %) und Firewalls (95 %) angeht. Auch auf die physische Sicherheit wird dort deutlich stärker geachtet als dies bei Client-Systemen der Fall ist.

Als Authentifizierungsmethode Nummer Eins muss weiterhin klar das Passwort gelten – weit abgeschlagen folgen Hardware-Token und Chipkarten, wenn auch mit einem gewissen Planungspotenzial bei Clients und mobilen Endgeräten. Eine deutliche Absage erteilen die Befragten der Biometrie: Sowohl zur Authentifizierung beim Rechnerzugriff als auch in Sachen Zutrittskontrolle bleibt sie die große Ausnahme: Je nach Einsatzort und -zweck sagen 93–99 % der Teilnehmer deutlich "Biometrie ist nicht vorgesehen".

Eine gewisse Risikobereitschaft oder notgedrungenen Pragmatismus verheißen hingegen jeweils rund 45 % der Unternehmen, bei denen für PCs und mobile Endgeräte kein Backup vorgesehen ist – es steht zu bezweifeln, dass in allen diesen Fällen eine zentrale Datenhaltung vorliegt, die dafür sorgt, dass auf den Endgeräten keine wichtigen Dateien entstehen oder modifiziert werden. Bei noch weniger Teilnehmern kommen zudem auch Endgeräte in den Genuss einer unterbrechungsfreien Stromversorgung (USV) – hier dürfte der Hintergrund in den bislang sehr positiven Erfahrungen mit dem Versorgungsnetz liegen (s. aber bspw. <kes> 2003#3, S. 6).

Eine bekannte Situation zeigte sich beim Überspannungsschutz: Gut vier Fünftel haben ihre EDV auf der Stromversorgungsseite gesichert – bei Daten- und TK-Leitungen allerdings weiterhin nur rund zwei Fünftel.

Trotz einer heute üblichen hohen Abhängigkeit von Telekommunikations- und Datennetzen ist überdies – vermutlich auch hier nicht zuletzt aufgrund der guten Verfügbarkeitswerte – bei relativ vielen Befragten kein Reserve-Netzzugang zur Überbrückung bei Ausfällen eingerichtet oder vorgesehen. Selbst Server und Zentrale bleiben hier in 36 % der befragten Unternehmen im Falle eines Falles ohne geplante Ersatz-Verbindung zur Außenwelt.

Riskant erscheinen zudem die Aussagen, von bi szu 69 % der Befragten bei WLAN-Verbindungen keine Kryptographie einsetzen zu wollen. Auch sonst liegen die Angaben realisierter Verschlüsselungsmaßnahmen unter den Werten der vorigen Studie. Allerdings sind hier noch etliche Vorhaben in der Planung, besonders zur E-Mail- und Datei-Verschlüsselung sowie dem Chiffrieren ganzer Festplatten auf mobilen Systemen.

Darüber hinaus liegt das größte Planungspotenzial bei der (zentralen) Spam-Abwehr und Intrusion Detection/Prevention sowie der Ausstattung von Endgeräten mit verbessertem Zugangsschutz (Chipkarten und Hardware-Token).

  Server / Zentrale Clients / Endstellen mobile Endgeräte
realisiert geplant nicht vorgesehen realisiert geplant nicht vorgesehen realisiert geplant nicht vorgesehen
Firewalls 95 % 2 % 3 % 43 % 11 % 46 % 41 % 20 % 39 %
Virenschutzmechanismen 97 % 1 % 2 % 93 % 2 % 5 % 86 % 6 % 8 %
Datensicherung (Backup) 99 % 1 % 1 % 51 % 4 % 45 % 44 % 11 % 46 %
Intrusion Detection Systems 44 % 26 % 31 % 13 % 7 % 79 % 7 % 7 % 86 %
Benutzerverzeichnis mit Security-Policy 63 % 13 % 24 % 32 % 11 % 57 % 28 % 7 % 64 %
Authentifizierung
... Hardware-Token 15 % 9 % 76 % 7 % 14 % 79 % 17 % 17 % 67 %
... Passwort 95 % 1 % 5 % 94 % 2 % 5 % 85 % 1 % 14 %
... Chipkarte 11 % 14 % 74 % 7 % 19 % 74 % 10 % 20 % 70 %
... biometrische Verfahren 1 % 4 % 95 % 1 % 4 % 95 % 0 % 3 % 97 %
Protokollierung unberechtigter Zugriffe 76 % 14 % 10 % 35 % 15 % 50 % 20 % 15 % 65 %
Content Inspection/Filtering 52 % 15 % 33 % 19 % 11 % 70 % 12 % 10 % 78 %
Spam-Abwehr 56 % 28 % 15 % 36 % 16 % 48 % 24 % 16 % 60 %
Verschlüsselung
... sensitive Dateien 41 % 22 % 37 % 31 % 12 % 57 % 39 % 17 % 44 %
... Festplatten (kpl./partitionsw.) 17 % 18 % 65 % 12 % 13 % 75 % 36 % 22 % 43 %
... Archivdatenträger/Backups 23 % 12 % 65 % 8 % 5 % 87 % 8 % 7 % 85 %
... LAN/Intranet-Verbindungen 28 % 11 % 61 % 16 % 7 % 77 % 20 % 4 % 76 %
... WLAN-Verbindungen 24 % 15 % 61 % 18 % 14 % 69 % 24 % 17 % 59 %
... WAN/Internet-Verbindungen 47 % 8 % 45 % 33 % 8 % 60 % 33 % 10 % 57 %
... Telefon 5 % 3 % 92 % 2 % 1 % 98 % 2 % 0 % 98 %
... Fax 4 % 4 % 93 % 2 % 1 % 98 % 2 % 0 % 98 %
... E-Mail 34 % 23 % 43 % 37 % 20 % 43 % 32 % 18 % 49 %
Physische Sicherheit
... Zutrittskontrolle, biometrisch 4 % 4 % 93 % 0 % 1 % 99 %  
... Zutrittskontrolle, sonstige 81 % 4 % 15 % 45 % 1 % 54 %
... Bewachung 49 % 3 % 49 % 26 % 1 % 73 %
... Video-Überwachung 39 % 3 % 58 % 11 % 1 % 88 %
... Einbruchmeldesysteme 72 % 4 % 24 % 39 % 4 % 57 %
... Schutz von Glasflächen gegen Durchbruch/Durchwurf 55 % 3 % 41 % 22 % 2 % 77 %
... Sicherheitstüren 76 % 3 % 21 % 25 % 1 % 74 %
... Brandmeldesysteme 83 % 2 % 15 % 47 % 1 % 52 %
... Löschanlagen 57 % 3 % 40 % 20 % 2 % 79 %
... andere Meldesysteme (z. B. Gas, Staub, Wasser) 37 % 6 % 57 % 9 % 2 % 89 %
... Datensicherungsschränke/-räume 85 % 3 % 12 % 24 % 2 % 75 %
... Schutz gegen kompromittierende Abstrahlung (TEMPEST) 13 % 1 % 86 % 2 % 2 % 96 % 2 % 1 % 97 %
... Maßnahmen gegen Hardwarediebstahl 63 % 3 % 33 % 32 % 6 % 63 % 35 % 11 % 54 %
physikalisches Löschen von Datenträgern 53 % 8 % 39 % 30 % 11 % 59 % 26 % 9 % 64 %
Unterbrechungsfreie Stromversorgung 91 % 3 % 6 % 17 % 7 % 77 % 8 % 2 % 91 %
Klimatisierung 83 % 3 % 13 % 12 % 3 % 85 %  
Rückrufautomatik bei Modemzugriff 47 % 4 % 49 % 20 % 2 % 78 % 21 % 3 % 77 %
Reserve-Netzzugang (IT/TK) zur Ausfallüberbrückung 55 % 9 % 36 % 20 % 3 % 77 % 13 % 1 % 86 %

Tabelle 11: Realisierte und geplante Sicherheitsmaßnahmen
Basis: Ø 144 Antworten (Server), Ø 131 (Clients), Ø 124 (mob. Ger.)

Systemadministration

Manuelle Administration erfolgt nach wie vor bei sehr vielen Befragten in nennenswertem Umfang: 69 % gaben an, bei Netzwerksystemen häufig "Hand anzulegen", 72 % bei Host- und PC-Systemen. Managementlösungen der jeweiligen Hersteller (vor allem Cisco und Microsoft) sind bei 50 % der Teilnehmer für Netzwerk- beziehungsweise bei 39 % für PC-/Host-Systeme im Einsatz. Mit zentralen Managementlösungen arbeiten in nennenswertem Umfang 36 % der Befragten im Netzwerk und 41 % auf Hosts und PCs (meistgenannt: IBM Tivoli).

Informationen über Sicherheits-Updates beziehen die meisten direkt vom Hersteller: 67 % über aktive Kanäle (push) und 66 % über den offiziellen Internetauftritt. 42 % nutzen "unabhängige" Mailing-Listen auch, um sich über Updates zu informieren, 31 % tun dies über Webseiten Dritter. Derartige passive Kanäle prüfen 54 % der Befragten mindestens einmal in der Woche (vgl. Abb. 10). Zur allgemeinen Information über ISi nutzen die Teilnehmer übrigens vor allem die Mailing-Listen von BSI und Heise vor Bugtraq, CERT CC und Bruce Schneiers Cryptogram.

Als wichtigste Komponenten im Security Management nannten die Teilnehmer eine zentrale Überwachung der Sicherheitssysteme (für 62 % "sehr wichtig", 36 % "wichtig"), eine plattformübergreifende Benutzerverwaltung (56 %/38 %), das Alarm- und Eskalationssystem (42 %/51 %) sowie Virtual Private Networks (VPN, 45 %/39 %). Danach folgen Intrusion Detection, Single Sign-on, Internet-Missbrauchs-Überwachung und Public Key Infrastructure (PKI).

[ täglich 25%, wöchentlich 28%, monatlich 9%, quartalsweise 3%, seltener/unregelmäßig 28%, gar nicht 6% ]
Abbildung 10: Prüfintervall passiver Kanäle zu Sicherheits-Updates
Basis: 145 Antworten

Content Security

Die Abwehr von Malware zeigt bei den Befragten – wenig überraschend – einen enormen Realisierungsgrad auf allen Ebenen, wenngleich bei mobilen Systemen noch ein deutlicher Rückstand besteht. Auch Online-Virenwächter auf PCs liegen neuerdings hoch im Kurs: 52 % der Teilnehmer betreiben solche Dienste (2002 waren es nur 16 %). 37 % halten für nähere Analysen eine isolierte Testumgebung bereit. Prüfsummenprogramme scheinen jedoch völlig aus der Mode gekommen zu sein und sind nur noch bei 7 % vorhanden.

Die mittlere Update-Frequenz von Viren-Mustern beträgt bei Gateways und Serversystemen rund 21 Stunden; auf Desktops (unter Auslassung eines einzelnen Ausreißerwerts) erfolgt das Update im Mittel alle 30 Stunden, auf mobilen Systemen alle 39 Stunden. Die Angaben gehen jedoch weit auseinander und reichen von "in Echtzeit" bis hin zu "einmal in der Woche". Die häufigste Nennung lautet "täglich" und wurde bei Endgeräten von etwa der Hälfte der Befragten geäußert, bei Serversystemen von etwa 40 %.

[ 26,5% erhalten 10-19% Spam, 19,9% erhalten 20-29% Spam, 19,2% erhalten 0-9% Spam, 12,6% erhalten 30-39% Spam, 6,6% erhalten 40-49% Spam, 15,3% erhalten mehr als 50% Spam ]
Abbildung 11: Anteil von Spam an der eingehenden E-Mail
Basis: 151 Antworten

Weniger dramatisch als die oftmals publizierten Zahlen vermuten ließen, zeigte sich die Spam-Flut bei den Teilnehmern. Obwohl die Systeme zur Abwehr unerwünschter E-Mails noch längst nicht vollständig realisiert sind (vgl. Tab. 11), liegt der Spam-Anteil im Mittel bei einem knappen Viertel – zwei Fünftel der Befragten haben unter 15 % Spam-Anteil, nur jeder Siebte erhält mehr als 50 % Spam (vgl. Abb. 11). Die weitaus meisten dieser Angaben beruhen zwar auf Schätzungen: Nur 12 % der Teilnehmer ermitteln den tatsächlichen Spam-Anteil. Angesichts der "Nervigkeit" des Spam-Phänomens dürften Schätzungen im Zweifel aber eher zu hoch als zu niedrig ausfallen.

Verschlüsselung und Signaturen

Die Bereitschaft, E-Mails zu chiffrieren, sofern ein Krypto-Schlüssel des Empfängers vorliegt, ist im Vergleich zur vorigen Studie leicht gestiegen: 47 % der Befragten würden dann zumindest sensitive Nachrichten verschlüsseln (+3 Prozentpunkte), 12 % die externe Kommunikation (-1 Prozentpunkt), 6 % alle Nachrichten (+2 Prozentpunkte). Auch dieses Jahr lag dabei OpenPGP als verwendeter Standard klar vor S/MIME – und zwar wiederum im Verhältnis 2:1.

Weiterhin eine Seltenheit sind elektronische Signaturen: Nur rund ein Viertel der Teilnehmer nutzt sie zur Authentifizierung interner Kommunikation, 22 % im B2B-Segment – Haupteinsatzort ist dabei der Webserver (vgl. Tab. 12). Betrachtet man die vorhandene und geplante Infrastruktur, so zeigen sich auch hier keine großen Veränderungen: Wo überhaupt signiert wird, sind Software-Lösungen deutlich dominant, Chipkarten und Hardware-Token folgen mit deutlichem Abstand und geringerem Realisierungsgrad. Höherwertige Chipkarten-Terminals mit gesicherter PIN-Eingabe oder eigenem Display sowie höherwertige Signaturen gemäß Signaturgesetz bleiben nach wie vor die große Ausnahme.

Elektr./dig. Signaturen sind im Einsatz bei... E-Mail WWW (SSL) Applikationen nein
zur Authentifizierung interner Kommunikation? 13 % 12 % 9 % 75 %
bei B2B-Kommunikation? 9 % 13 % 8 % 78 %
bei B2C-Kommunikation? 5 % 13 % 5 % 83 %
im E-Government? 5 % 3 % 1 % 92 %

Tabelle 12: Einsatz elektronischer Signaturen
Basis: Ø 145 Antworten

In Sachen Public Key Infrastructure hat sich mit knapp 29 % der Anteil der Teilnehmer wiederum etwas erhöht, die bereits eine PKI nutzen. Haupteinsatzbereiche bleiben dabei E-Mail-Verschlüsselung, VPN und die Sicherung von Telearbeitsplätzen und Remote Access sowie ferner Datei-Verschlüsselung; mit geringerem aktuellen Umsetzungsgrad folgen der Schutz von Web-Zugriffen sowie Zugriffsrechteverwaltung und Single-Sign-on.

Logfile-Auswertung

Eine regelmäßige Auswertung von Protokollen an der Schnittstelle zum Internet führen 60 % für (zentrale) Anti-Virus-Logfiles durch, 58 % tun dies bei Firewalls – Intranet-Firewalls und -Virenscanner werden zwar etwas seltener, aber dennoch von den meisten Teilnehmern regelmäßig geprüft. Für Netzwerkkomponenten und Betriebssysteme erfolgt die Auswertung hingegen überwiegend anlassbezogen (s. Tab. 13). Bedenklich erscheint, dass mehr als ein Drittel der Befragten an der Netzwerkgrenze keine Protokollierung oder Logfile-Auswertung von Web- und E-Commerce-Applikationen vornimmt.

Logfile-Auswertung bei ... erfolgt... min. 2x pro Woche seltener, aber regelmäßig anlassbezogen keine Auswertung / Protokollierung
Antivirus-Lösungen 40 % 20 % 33 % 7 %
Firewall(s) 36 % 22 % 35 % 7 %
Netzkomponenten (Router, Switches etc.) 14 % 17 % 43 % 25 %
Betriebssysteme 12 % 23 % 48 % 17 %
Web-/E-Commerce-Applikationen 11 % 22 % 32 % 35 %

Tabelle 13: Auswertung von Logfiles an der Schnittstelle zum Internet
Basis: Ø 127 Antworten

Notfallvorsorge

Die für Katastrophenfälle wesentliche räumliche Trennung wichtiger IT-Komponenten vollziehen die Teilnehmer vor allem durch Nutzung separater Gebäude: Beispielsweise haben 49 % ihr Auslagerungsarchiv in einem anderen Gebäude untergebracht, 20 % zumindest in einem getrennten Brandabschnitt, nur 14 % hingegen bei einem Kooperationspartner oder externen Dienstleister – 17 % haben keinerlei räumliche Trennung vorgesehen. Bei Robotersystemen, gespiegelten Daten und zusätzlichen Rechnern oder Clustern zeigte sich seltener eine räumliche Trennung (bei insges. 48–61 %), allerdings mit derselben Priorität der hierfür genutzten Örtlichkeiten.

Für längere Ausfälle haben rund 72 % bereits eine Vorsorgemaßnahme für Unternehmensserver oder Mainframes realisiert, 56 % auch für Abteilungsserver und PCs. Der größte Anteil von bereits umgesetzten Maßnahmen ist dabei jeweils der Abschluss einer entsprechenden Versicherung, gefolgt von Verträgen über die schnelle Lieferung von Hardware. Platz Drei unterscheidet sich hingegen: Für die zentrale IT wurden hier Cluster oder Load-Balancing-Lösungen eingerichtet, für Abteilungssysteme "kalte" Räume bereitgestellt (also Ersatzräume ohne Equipment).

Bezieht man geplante, aber noch nicht umgesetzte Vorsorgemaßnahmen mit ein, so stehen Cluster und Ersatzlieferungen für die zentrale IT auf Rang Eins und auch bei den Abteilungssystemen "überholen" Ersatzbeschaffungsvereinbarungen die klassische Ausfall-Versicherung (vgl. Abb. 12). Von 32 Teilnehmern, die auf unsere Frage nach der Inanspruchnahme eines Recovery-Vertrags geantwortet haben, mussten übrigens gleich zwei diese tatsächlich schon mehrfach nutzen – die anderen 30 blieben bislang jedoch vom "Ernstfall" verschont.

Bei der Notfall-Dokumentation dominiert nach wie vor das manuelle Handbuch, das bei 50 % der Teilnehmer im Einsatz ist (weitere 28 % haben es in Arbeit oder geplant). Der Anteil genutzter oder in Arbeit befindlicher Online-Anwendungen oder online-gestützer Handbücher ist zwar im Vergleich zur vorigen Studie um sechs beziehungsweise vier Prozentpunkte gestiegen, bleibt aber dennoch deutlich hinter den klassischen Systemen zurück, selbst wenn man jeweils das Fünftel der Befragten hinzuzählt, die ein entsprechendes Produkt für die Zukunft planen. Die Aktualisierung der Dokumentation erfolgt bei 87 % der Befragten nur anlassbezogen, bei 8 % niemals. Lediglich 5 % gaben an, dieses wichtige Dokument regelmäßig auf dem Laufenden zu halten.

[meistgenannt: zentrale IT realisiert: Vesicherung abgeschlossen 44%, zentrale IT realisiert+geplant: Verträge über schnelle Lieferung von HW 50%, Abteilungs-IT realisiert: Vesicherung abgeschlossen 32%, Abteilungs-IT realisiert+geplant: Verträge über schnelle Lieferung von HW 39% ]
Abbildung 12: Bereitstellungen für längere Ausfälle bei Unternehmensservern und Mainframes
Basis: 148 Antworten