<kes>/Microsoft-Sicherheitsstudie 2008

Achtung, Archivseite! Der Einsendeschluss ist abgelaufen. Der erste Teil der Auswertung ist in <kes> 2008#4 (August-Ausgabe) erschienen.

Logo <kes>/Microsoft-SicherheitsstudieCheckliste zur Informations-Sicherheit

Zusammenfassung: Verlässliche Zahlen zu Risiken, Angriffen und dem Stand der Informationssicherheit sind Mangelware. Dabei sind sie eine wesentliche Hilfe, um die eigene Sicherheitslage und neue Bedrohungen richtig einzuschätzen. Alle zwei Jahre fragt die <kes> daher nach Erfahrungen aus der Praxis und möchte mit dem Fragebogen zur Studie gleichzeitig eine Checkliste für Ihre Sicherheit liefern.

Vermissen Sie bisweilen belastbare Zahlen und Fakten zur Lage der Informations-Sicherheit, die unbelastet sind von spezifischen Interessen eines einzelnen Anbieters? Wir auch – deswegen gibt es seit über zwanzig Jahren die <kes>-Sicherheitsstudien. Wie die Anforderungen an die Informations-Sicherheit wandelt sich regelmäßig auch der zugehörige Fragebogen. Neben der Grundlage zur Daten-Erfassung für die Studie kann er daher gleichzeitig jedem Ausfüller als Arbeitshilfe zur Reflexion und Evaluierung seiner eigenen Sicherheitslage dienen.

Im Zuge der aktuellen Überarbeitung hat diese "Checkliste zur Information-Sicherheit" eine deutliche strukturelle Änderung erfahren: Der Teil A beherbergt auf den ersten Seiten des Fragebogens nunmehr alle abstrakteren Fragen zur Risiko-Bewertung und Sicherheits-Strategie – Teil B enthält vertiefende Fragen zu eingesetzten Mechanismen und Maßnahmen sowie das Kapitel Schulung und Informationsquellen. Grob gesagt betrifft der erste Teil stärker den "Policy-Maker", der zweite stärker die Security-Administration – Abschnitt 4 (Info und Schulung) darf wohl als Schnittmenge für alle Beteiligten gelten.

Neben einer klareren Struktur möchten wir mit dieser Gliederung einerseits eine leichtere Arbeitsteilung beim Ausfüllen des Fragebogens durch mehrere Mitarbeiter ermöglichen. Zum anderen können Sie bei Bedarf auch "inhouse" verschiedene Meinungen zu den Risiko-Fragen sammeln oder differierende Wahrnehmungen verschiedener Beteiligter aufdecken. Und nicht zuletzt: Wer wirklich keine Möglichkeit hat, sich mit dem vollständigen Fragebogen zu beteiligen, kann sich nun auf Teil A beschränken und dennoch mitmachen.

Wie immer erhalten alle Teilnehmer die veröffentlichte Auswertung frei Haus und zudem exklusiven Online-Zugriff auf die tabellarische Auswertung aller Fragen sowie ein kleines Dankeschön-Geschenk (siehe letzte Seite im Fragebogen).

Bitte beachten Sie auch die Ausfüllhinweise am Ende dieser Seite.

----------Anfang Textkasten----------

Vielen Dank für die freundliche Unterstützung unserer Studie

[Logos: Microsoft, D-Trust, eset/DATSEC, S-Trust, entrada, Eurosec, GeNUA, it.sec, Jürgen Jakob Software-Entwicklung (AVG Anti-Virus), KPMG, F.-J. Lang IT-Security Consulting, phion, ROG, secunet, SOPHOS, TESIS]

Microsoft D-Trust ESET/DATSEC Eurosec GeNUA F.-J. Lang IT-Security Consulting KPMG S-TRUST entrada it.sec Jürgen Jakob Software-Entwicklung (AVG Anti-Virus) phion ROG secunet TESIS SOPHOS

Für zusätzliche Anregungen und Hinweise bedanken wir uns beim Bundesamt für Sicherheit in der Informationstechnik (BSI). Weiterhin gilt unser Dank den Verbänden und Anwendervereinigungen, die den Fragebogen der Studie ihren Mitgliedern zugänglich machen, sowie schon jetzt allen Teilnehmern an der Befragung, die durch ihre wertvolle Mitarbeit ein sinnvolles Gesamtbild entstehen lassen.

----------Ende Textkasten----------

So gehts

gez. Peter Hohl, <kes>-Herausgeber

Hinweise zum Ausfüllen

Seit 2004 erscheint unser Fragebogen in neuer Aufmachung. Außer den "Zebra-Streifen" soll Ihnen auch die Form und Gruppierung der Kästchen beim Ausfüllen eine Hilfe sein. Kreise kennzeichnen dabei alternative Antwortmöglichkeiten: Von allen durch eine Linie verbundenen Kreisen sollten Sie nur eine Option ankreuzen, gegebenenfalls wählen Sie bitte die passendste Antwort (s. etwa Frage 1.02: pro Zeile ist nur eine Notenstufe möglich). Die Abkürzung "n. b." steht dabei für "nicht beantwortbar" oder "nicht beantwortet".

1.02 Wie schätzen Sie die Informationssicherheit (ISi) in Ihrem Haus ein? sehr gut | gut | befriedigend | ausreichend | nicht ausreichend | n. b.

Quadratische Kästchen kennzeichnen hingegen Fragen, bei denen Mehrfachnennungen vorgesehen sind. 2.04b falls ja: Welche Methodik setzt Ihr Haus hierbei ein? • eigene Methodik/Software • standardisiertes Verfahren (Grundschutz, ISO, ...) • Verfahren eines Herstellers oder Beraters • Risikomanagement-Software • sonstige Methodik • kein strikt methodisches Vorgehen Teilweise sind mehrere Kästchen durch eine Umrandung gruppiert, wenn sie ein logisches Gegengewicht zu anderen Optionen bilden (vgl. Frage 2.04b: eine oder mehrere "eingesetzte Methodiken" schließen "keine Methodik" und "n. b." aus).

Für weitere Fragen zu den Fragen oder Antwortmöglichkeiten sowie für Anregungen und Kritik haben wir die spezielle E-Mail-Adresse studie@kes.info eingerichtet. Auf www.kes.info/studie2008/ werden wir zudem bei Bedarf eine FAQ-Sammlung pflegen.