<kes>/Microsoft-Sicherheitsstudie 2014

Logo <kes>/Microsoft-Sicherheitsstudie Checkliste zur Informations-Sicherheit

Achtung, Archivseite! Der Einsendeschluss ist abgelaufen. Der erste Teil der Auswertung wird in <kes> 2014#4 (August-Ausgabe) erscheinen.

Ordnungsmerkmale

erschienen in: <kes> 2013#6, Seite 25

Zusammenfassung: Verlässliche Zahlen zu Risiken, Angriffen und dem Stand der Informationssicherheit sind Mangelware. Dabei sind sie eine wesentliche Hilfe, um die eigene Sicherheitslage und neue Bedrohungen richtig einzuschätzen. Alle zwei Jahre fragt die <kes> daher nach Erfahrungen aus der Praxis und möchte mit dem Fragebogen zur Studie gleichzeitig eine Checkliste für Ihre Sicherheit liefern.

Mit dem vorliegenden Fragebogen möchten wir und die Sponsoren die Grundlage für die nächste <kes>-Studie legen und schon jetzt jedem Ausfüller eine Arbeitshilfe zur Reflexion und Evaluierung seiner eigenen Sicherheitslage an die Hand geben – natürlich wurde die "Checkliste zur Informations-Sicherheit" auch in diesem Jahr wieder aktualisiert. Und wie immer freuen wir uns schon jetzt darauf, im kommenden Jahr mit den Ergebnissen Ihrer und unserer Arbeit wieder belastbare Zahlen und Fakten zur Lage der Informations-Sicherheit zu liefern.

==========Anfang Textkasten==========

Vielen Dank für die freundliche Unterstützung unserer Studie

[Logos: Microsoft, apsec, Barracuda, brainloop, Bundesdruckerei, CSC, eset, Jakobsoftware, KPMG, secunet - OTARIS, humanIT] Microsoft Deutschland GmbH Applied Security GmbH Barracuda Networks Ltd Bundesdruckerei GmbH CSC Deutschland Solutions GmbH Brainloop AG ESET Deutschland GmbH www.jakobsoftware.de KPMG  Wirtschaftsprüfungsgesellschaft secunet Security Networks AG OTARIS Interactive Services GmbH InfoZoom Klick.Überblick.

Weiterhin gilt unser Dank den Verbänden und Anwendervereinigungen, die den Fragebogen der Studie ihren Mitgliedern zugänglich machen, sowie schon jetzt allen Teilnehmern an der Befragung, die durch ihre wertvolle Mitarbeit überhaupt erst ein sinnvolles Gesamtbild entstehen lassen.

==========Ende Textkasten==========

Zum zweiten Mal steht Ihnen der Fragebogen nicht mehr nur in der gedruckten Version und als PDF-Datei zur Verfügung: Auch dieses Jahr können Sie die Fragen direkt online beantworten (natürlich mit der Möglichkeit zum Zwischenspeichern). Das Bremer Unternehmen OTARIS Interactive Services GmbH hat unsere Checkliste dazu in seiner "ProAUDIT Suite" modelliert und hostet die Online-Version des Fragebogens auf seinen Webservern.

Für den sorgsamen und umgehend anonymisierten Umgang von Fragebögen per Post garantiert seit jeher <kes>-Herausgeber Peter Hohl mit seinem Namen (s. Kasten) – für die Onlineversion verbürgt sich nun gleichermaßen OTARIS-Geschäftsführer Mehmet Kus, dass bei der Speicherung sowie Datenverarbeitung und -aufbereitung umfassende Maßnahmen für Sicherheit, Datenschutz und Ihre Anonymität sorgen.

Die Onlinefassung unseres Fragebogens steht Ihnen unter [externer Link] www.myaudit.de/kes zur Verfügung. Sie können dort entweder ein anonymes Login für das Ausfüllen des Fragebogens anlegen oder einen anonymem (Perma-)Link erstellen lassen, der – als Lesezeichen gespeichert – das Wiederaufrufen Ihres Fragebogens zur Bearbeitung in mehreren Schritten ermöglicht. Zusätzliche [externer Link] Erläuterungen und Antworten auf häufige Fragen finden Sie über den "Hilfe/FAQ"-Link unten auf jeder Seite der Fragebogen-Onlinefassung.

Sowohl online als auch offline ist der Fragebogen 2014 erneut in zwei Segmente gegliedert: Wer keine Möglichkeit hat, sich mit allen Antworten zu beteiligen, kann sich wieder auf Teil A beschränken und dennoch mitmachen. Wie immer erhalten alle Teilnehmer die veröffentlichte Auswertung frei Haus und zudem exklusiven Online-Zugriff auf die tabellarische Auswertung aller Fragen sowie ein kleines Dankeschön-Geschenk (siehe letzte Seite des Fragebogens).

Struktur des Fragebogens

Teil A der "Checkliste zur Information-Sicherheit" beherbergt auf den ersten Seiten des Fragebogens alle abstrakteren Fragen zur Risiko-Bewertung und Sicherheits-Strategie – Teil B enthält vertiefende Fragen zu eingesetzten Mechanismen und Maßnahmen sowie das Kapitel Schulung und Informationsquellen. Grob gesagt betrifft der erste Teil stärker den "Policy-Maker", der zweite stärker die Security-Administration – Abschnitt 4 (Info und Schulung) darf wohl als Schnittmenge für alle Beteiligten gelten.

Neben einer klareren Struktur möchten wir mit dieser Gliederung einerseits eine leichtere Arbeitsteilung beim Ausfüllen des Fragebogens durch mehrere Mitarbeiter ermöglichen. Zum anderen können Sie bei Bedarf auch "inhouse" verschiedene Meinungen zu den Risiko-Fragen sammeln oder differierende Wahrnehmungen verschiedener Beteiligter aufdecken. Und nicht zuletzt: Wer wirklich keine Möglichkeit hat, sich mit dem vollständigen Fragebogen zu beteiligen, kann sich nun auf Teil A beschränken und dennoch mitmachen.

Bitte beachten Sie auch die Ausfüllhinweise am Ende dieser Seite.

So gehts

gez. Peter Hohl, <kes>-Herausgeber

Hinweise zum Ausfüllen

Seit 2004 erscheint unser Fragebogen in neuer Aufmachung. Außer den "Zebra-Streifen" soll Ihnen auch die Form und Gruppierung der Kästchen beim Ausfüllen eine Hilfe sein. Kreise kennzeichnen dabei alternative Antwortmöglichkeiten: Von allen durch eine Linie verbundenen Kreisen sollten Sie nur eine Option ankreuzen, gegebenenfalls wählen Sie bitte die passendste Antwort (s. etwa Frage 1.02: pro Zeile ist nur eine Notenstufe möglich). Die Abkürzung "n. b." steht dabei für "nicht beantwortbar" oder "nicht beantwortet".

1.02 Wie schätzen Sie die Informationssicherheit (ISi) in Ihrem Haus ein? sehr gut | gut | befriedigend | ausreichend | nicht ausreichend | n. b.

Quadratische Kästchen kennzeichnen hingegen Fragen, bei denen Mehrfachnennungen vorgesehen sind. 2.05b falls ja: Welche Methodik setzt Ihr Haus hierbei ein? • eigene Methodik/Software • standardisiertes Verfahren (Grundschutz, ISO, ...) • Verfahren eines Herstellers oder Beraters • Risikomanagement-Software • sonstige Methodik • kein strikt methodisches Vorgehen Teilweise sind mehrere Kästchen durch eine Umrandung gruppiert, wenn sie ein logisches Gegengewicht zu anderen Optionen bilden (vgl. Frage 2.05b: eine oder mehrere "eingesetzte Methodiken" schließen "keine Methodik" und "n. b." aus).

Für weitere Fragen zu den Fragen oder Antwortmöglichkeiten sowie für Anregungen und Kritik haben wir die spezielle E-Mail-Adresse studie@kes.info eingerichtet. Auf www.kes.info/studie2014/ werden wir zudem bei Bedarf eine FAQ-Sammlung pflegen.