<kes>/Microsoft-Sicherheitsstudie 2012

• Ergebnisübersicht
• Ergebnisse der <kes>/Microsoft-Sicherheitsstudie 2012
  (passwortgeschützt – als Teilnehmer an der Studie erhalten Sie Ihre Zugangsinformationen in Kürze zugeschickt, als Partner wenden Sie sich bitte ggf. an den Verlag, sofern Ihnen Ihr Zugangscode nicht bekannt sein sollte)
• Aufruf zum Mitmachen (Artikel "Checkliste zur Informations-Sicherheit)
• Ausfüllhinweise zum Fragebogen
• Fragebogen als PDF (inkl. Artikel – Link öffnet ein neues Fenster)
• Fragebogen als PDF im ZIP-Archiv

Ergebnisübersicht

Fehlende Unterstützung durch das Top-Management

56 % der Teilnehmer der <kes>/Microsoft-Sicherheitsstudie 2012 gaben an, dass fehlendes Bewusstsein und mangelnde Unterstützung ihres Top-Managements zu den Problemen gehört, die sie bei der Verbesserung der Informations-Sicherheit (ISi) "am meisten" behindern. Das ist der höchste Wert seit 20 Jahren – nur 1992 hatten mit 57 % noch mehr Befragte einen "Mangel an Sensibilisierung der Verantwortlichen" beklagt. Im Jahr 2008 waren es 55 %, in den anderen Jahren schwankten die Werte zwischen 45 % und 51 %.

Ein häufiger genanntes Hindernis für eine Verbesserung der Informations-Sicherheit ist nur noch das "fehlende Bewusstsein bei den Mitarbeitern" (64 %), auf Platz 3 und 4 liegen "fehlendes Bewusstsein beim mittleren Management" (49 %) und "mangelndes Geld/Budget" (49 %). Der Stellenwert der ISi beim Top-Management zeigt allerdings ein gewohntes Bild: Rund ein Drittel aller Chefetagen sieht nach Einschätzung der Teilnehmer die Security als Mehrwert (15 %) oder vorrangiges Ziel (19 %). Ein weiteres Drittel sieht darin ein "gleichrangiges Ziel" (33 %) oder eher ein "lästiges Übel" (33 %).

Risikosituation

Eine weitere Frage der <kes>/Microsoft-Sicherheitsstudie befasst sich mit der aktuellen Einschätzung von Gefährdungen. An der Spitze der Gefahrenbereiche steht – wie fast immer – "Irrtum und Nachlässigkeit eigener Mitarbeiter"; danach folgen Malware und Software-Mängel. Der Gefahrenbereich "Wirtschaftsspionage" belegt Rang 4. Einen deutlichen Prioritätsrückgang erfuhr das Risiko "Hacking", welches sich nunmehr im Mittelfeld (Rang 6) der abgefragten Gefahren befindet.

Weitere Ergebnisse der Studie in Kurzform:

• Malware bleibt noch immer eine Top-Gefährdung, die viel Aufmerksamkeit erfordert – dennoch sprechen erneut viele Indikatoren dafür, dass die Gegenmaßnahmen generell fruchten und Viren, Würmer und Trojanische Pferde zunehmend beherrschbar werden.
• Wieder war mehr als die Hälfte der Befragten mutmaßlich Opfer von Vertraulichkeitsbrüchen – als wichtigstes Datenleck trat erneut die Kategorie "Social Engineering, Phishing oder Unachtsamkeit" auf.
• Die schlechteste Sicherheitseinschätzung erhalten erneut mobile Endgeräte (Smartphone & Co.) sowie Speichermedien – Geschäftsanwendungen verharren auf einem mittelmäßigen Sicherheitsstandard.
• Einschätzungen zur Bedeutung der Gefahrenbereiche korrespondieren ungewöhnlich gut mit tatsächlich aufgetretenen Schäden. Risiken durch Hardwareprobleme erscheinen jedoch weiterhin unterbewertet.
• Fast drei Viertel der Teilnehmer besitzen eine schriftliche Strategie zur Informations-Sicherheit – generell zeigt sich wieder mehr Bereitschaft, Konzepte und Maßnahmen schriftlich zu fixieren.
• Die organisatorische Umsetzung von Policies in die Praxis nennt weiterhin ein Viertel nicht oder gerade einmal ausreichend – im Mittel ergibt sich eine "befriedigende" Umsetzung.
• Verstöße gegen Gesetze, Vorschriften und Verträge bleiben wichtigstes Kriterium zur Risikobewertung – noch immer verzichten 30 % auf eine Risikoklassifizierung von Anwendungen und Systemen.
• Einschlägige deutsche Gesetze wurden häufiger "umfassend" umgesetzt – zirka ein Drittel der Teilnehmer hält deutsches Computer-Strafrecht und E-Business-Regelungen für unzureichend.

Die Ergebnisse unserer Studien von 2010, 2008, 2006, 2004 und 2002 finden Sie ebenfalls in unserem Materialien-Archiv.