Management und Wissen
KES/KPMG-Sicherheitsstudie 2002
Lagebericht zur IT-Sicherheit (1)
Von Reinhard Voßbein und Jörn Voßbein,
Wuppertal
Verlässliche Zahlen zu Risiken und Angriffen sowie
Konzepten und Maßnahmen der IT-Sicherheit in der aktuellen
Praxis sind selten, ganz zu schweigen von Erkenntnissen über
konkrete Vorhaben für die sicherheitsrelevante Zukunft der
IT-Landschaft. Als umso nützlicher dürften sich die
Ergebnisse unserer 9. Sicherheitsstudie aufgrund der umfassenden
Antworten von 260 hochkarätigen Teilnehmern erweisen.
Mit 260 Teilnehmern hat eine erfreuliche große Anzahl von
Unternehmen und Behörden an der KES/KPMG-Sicherheitsstudie
teilgenommen, sodass hierdurch noch aussagekräftigere Werte
ermittelt werden konnten als 2000. Die Autoren sehen darin aber
auch eine Bestätigung für das wachsende Interesse an der
Studie und ihrer Thematik.
Die Fragen der Studie hatten sich gegenüber den vergangenen
Jahren erneut in Einzelgebieten gewandelt, neue Themen sind dem
Stand der Technik folgend hinzugekommen, andere weggefallen. Die
Komplexität der heutigen IT-Sicherheitslandschaft hat in der
Summe zu einer leichten Erweiterung geführt, was jedoch auch
die Aussagefähigkeit der Studie verbessert hat.
----------Anfang Textkasten----------
[Kasten
überspringen]
Vielen Dank für freundliche
Unterstützung
Die folgenden Unternehmen fördern die
Durchführung unserer aktuellen Sicherheitsstudie:
![[Sponsoren: KPMG - DIM - HP - IBM - Lampertz - ROG - SAP - SOPHOS - TSCHANNEN - UIMC]](images/sponsoren-341.jpg)
Für zusätzliche Anregungen und Hinweise bedanken wir
uns beim Bundesamt für Sicherheit in der Informationstechnik
(BSI) sowie bei Prof. Dr. Alfred Büllesbach –
DaimlerChrysler AG, Dr. Gerhard Weck – INFODAS Gesellschaft
für Systementwicklung und Informationsverarbeitung mbH,
Hans-Joachim Gaebert Unternehmensberatung, Dr. Louis Marinos
– MNEMON sowie bei der UIMC Dr. Voßbein GmbH & Co
KG, der auch die wissenschaftliche Beratung und Auswertung dieser
Studie obliegt.
Nicht zuletzt gilt unser Dank den Verbänden und
Anwendervereinigungen, die den Fragebogen der Studie ihren
Mitgliedern zugänglich machen, und natürlich den
Teilnehmern selbst.
----------Ende Textkasten----------
Risikosituation
Nach wie vor dominieren die von Menschen direkt verursachten
Gefahren die aktuelle Risikolage, wobei die unbeabsichtigten
Wirkungen deutlich überwiegen. Als bedeutendstes Einzelrisiko
haben die Teilnehmer der KES/KPMG-Studie erneut Irrtum und
Nachlässigkeit eigener Mitarbeiter genannt, gefolgt von
Malware und Softwaremängeln, und zwar sowohl in der
Risikoeinschätzung als auch bei den tatsächlichen
Schäden. Die einzelnen Angaben weichen zwar durch eine
veränderte Prozentuierung zahlenmäßig von
denen der Vorjahre deutlich ab, die eigentlichen Aussagen stimmen
aber mit den früheren Ergebnissen überein.
| Welche dieser Gefahrenbereiche haben in Ihrem Haus
in den vergangenen beiden Jahren tatsächlich zu mittleren bis
größeren Beeinträchtigungen geführt? (Mehrfachnennungen möglich) |
| Basis der
Prozentuierung: |
260 |
| |
Summe |
Prozent |
| von Menschen direkt verursachte Gefahren |
135 |
52 % |
| Irrtum und Nachlässigkeit
eigener Mitarbeiter |
79 |
30 % |
| unbeabsichtigte Fehler von Externen
(z. B. Wartungstechniker) |
23 |
9 % |
| Manipulation zum Zweck der
Bereicherung |
6 |
2 % |
| unbefugte Kenntnisnahme,
Informationsdiebstahl, Wirtschaftsspionage |
16 |
6 % |
| Sabotage |
4 |
2 % |
| Hacking (Vandalismus, Probing,
Missbrauch, ...) |
21 |
8 % |
| Malware (Viren, Würmer, Trojanische Pferde
usw.) |
64 |
25 % |
| technische Defekte/Qualitätsmängel |
85 |
33 % |
| Hardware-bedingt |
38 |
15 % |
| Software-bedingt |
50 |
19 % |
| Mängel der Dokumentation |
8 |
3 % |
| höhere Gewalt (Feuer, Wasser usw.) |
8 |
3 % |
| Sonstige |
17 |
7 % |
Auch bei den erwarteten Veränderungen gab es keine
Überraschungen: Malware und zielgerichteten aktiven Angriffen
(Hacking, Spionage, usw.) wird wiederum eine deutliche Zunahme
prognostiziert. Etwas milder als in der letzten Studie schätzt
man das Ansteigen von Irrtum und Nachlässigkeit sowie
Softwareproblemen. Hardwaremängel und höhere Gewalt
sollen weiter zurückgehen. Die Gegenüberstellung in der
Rangordnung der Gefahrenbereiche zwischen dem "Jetzt" und
der "Zukunft" avisiert einen Aufstieg von Malware zum
Top-Risiko. Die unbeabsichtigten Fehler von Externen steigen von
Platz zehn auf Platz vier, hardwarebedingte Gefahren fallen von
Platz sechs auf Platz zehn; Sabotage steigt dadurch in ihrer
erwarteten zukünftigen Bedeutung deutlich an.
![[Risikoveränderungsfaktor:
+0,74 Malware,
+0,56 Hacking,
+0,40 unbefugte Kenntnisnahme,
+0,24 Software-Risiken,
+0,15 Irrtum und Nachlässigkeit eigener Mitarbeiter,
...
-0,08 Hardware-Risiken,
-0,22 Höhere Gewalt]](images/02-03-14-1-341.gif)
Veränderungsfaktor der Risiken
| Nennen Sie bitte die drei Gefahrenbereiche, die aus
Ihrer Sicht für Ihr Haus die höchste Bedeutung haben
(Mehrfachnennungen möglich) |
| |
Rangfolge |
| |
Jetzt |
Zukunft |
| Irrtum und Nachlässigkeit eigener
Mitarbeiter |
1 |
2 |
| Malware (Viren, Würmer, Trojanische Pferde
usw.) |
2 |
1 |
| Software-bedingte technische
Defekte/Qualitätsmängel |
3 |
3 |
| Unbefugte Kenntnisnahme Informationsdiebstahl,
Wirtschaftsspionage |
4 |
5 |
| Hacking (Vandalismus, Probing, Missbrauch,
...) |
5 |
6 |
| Hardware-bedingte technische
Defekte/Qualitätsmängel |
6 |
10 |
| Höhere Gewalt (Feuer, Wasser usw.) |
7 |
11 |
| Manipulation zum Zweck der Bereicherung |
8 |
9 |
| Mängel der Dokumentation |
9 |
8 |
| Unbeabsichtigte Fehler von Externen (z. B.
Wartungstechniker) |
10 |
4 |
| Sabotage |
11 |
7 |
| Sonstiges |
12 |
12 |
Die Auswertung der aktuellen Risiken belegt nach wie vor
eine Wahrnehmungsverzerrung in der öffentlichen Diskussion, wo
verschiedene Gefahren in ihren Auswirkungen deutlich
überschätzt werden, was besonders auf das Hacking
zutrifft. Ob die allgemeine Angst vor Viren, Hackern und Spionen,
die sich mit der erwarteten Risikoveränderung deckt, auch in
den Köpfen der Sicherheitsexperten "zugeschlagen"
hat oder die kommenden Jahre tatsächlich eine Umschichtung der
Risiken bringen wird, bleibt abzuwarten. Die Malware hat sich zwar
mittlerweile tatsächlich von den Softwarerisiken abgesetzt,
mit denen sie vor zwei Jahren noch gleichauf lag. Entsprechende
Prognosen der vergangenen Studie scheinen sich jedoch im Hinblick
auf gezielte Angriffe (Hacker, Spione) nicht bewahrheitet zu haben
– oder zumindest erfolgreich abgewehrt beziehungsweise erst
gar nicht registriert worden zu sein.
Internet
Ähnliches zeigt sich auch bei den Antworten zu Angriffen
über den Internetzugang und auf WWW-Server: 37 Prozent
der Befragten haben keinen Angriffsversuch gegen
Verfügbarkeit, Vertraulichkeit oder Integrität ihres
Internetzugangs vermerkt, bei der spezielleren Webserver-Frage
verbuchten 57 Prozent keine solchen Attacken. Spitzenreiter
bei den Nennungen zum Internetanschluss waren Hack-Versuche
(43 %) und Denial of Service (DoS, 29 %). Bei den
Webservern rangierten DoS-Angriffe (28 %) vor Spionage und
"Defacement", dem vandalistischen Verändern von
Inhalten (16 %). Nur selten war der Versuch wahrgenommen
worden, Daten auf WWW-Servern in betrügerischer Absicht zu
manipulieren, wobei sich hier die Frage stellt, ob die meisten
Inhalte eine entsprechende Absicht überhaupt lohnend
erscheinen lassen.
![[versuchte Angriffe:
43% Hacking,
29 % DoS,
19 % unbefugtes Lesen,
9 % Abhören,
7 % Manipulation,
37 % nichts von alledem ]](images/02-03-14-2-341.gif)
Internetorientierte Gefährdungen
Zudem bleibt ungewiss, wie viele Angriffsversuche unbeobachtet
stattfanden: Nur rund ein Drittel der Teilnehmer setzt Intrusion
Detection Systeme ein (Näheres im zweiten Teil der
Auswertung).
| Ist bereits der Versuch unternommen worden, auf
Ihrem WWW-Server ...? (Mehrfachnennungen
möglich) |
| Basis der
Prozentuierung: |
238 |
| |
Nennungen |
Prozent |
| Angebote lahmzulegen (Denial of Service) |
66 |
28 % |
| Daten auszuspionieren |
40 |
17 % |
| Seiten zu verändern (Vandalismus) |
37 |
16 % |
| Daten in betrügerischer Absicht zu
manipulieren |
13 |
5 % |
| Daten zu löschen |
12 |
5 % |
| nichts von alledem |
135 |
57 % |
Ein großer Teil der befragten Unternehmen nutzt WWW und
vor allem E-Mail für alle Mitarbeiter. Trotz der Gefahren, die
aus dem Internet auf interne Netze zukommen können, gestatten
übrigens nur 10 Prozent der Unternehmen den Mitarbeitern
keinerlei private Nutzung. Somit nimmt die überwältigende
Mehrheit der Unternehmen gleichezeitig datenschutzrechtliche
Probleme bei der Kontrolle solcher privaten Aktivitäten in
Kauf.
Viren, Würmer & Co.
Malware ist weiterhin eine ernste Bedrohung: 74 Prozent der
befragten Unternehmen haben im vergangenen Jahr
Malwarevorfälle vermeldet, über 70 Prozent einen
Zuwachs von Schadsoftware unterschiedlicher Art wahrgenommen. Zum
Glück scheinen die meisten Vorfälle aber glimpflich zu
verlaufen: Nur 25 Prozent hatten mittlere bis
größere Beeinträchtigungen angegeben.
| Hatten Sie 2001 Vorfälle mit Malware? |
| Ja |
185 |
74 % |
| Nein |
66 |
26 % |
Bei nahezu 50 Prozent der Teilnehmer gab es bereits einmal
einen Virenfehlalarm: Eine teure Angelegenheit, die im Einzelfall
bis zu 50 000 Euro geschätzte Kosten verursachen kann
(Durchschnitt: 8 173 €). Die Schätzungen
für Ausfallzeit und Kosten bei nicht-technischen Fehlalarmen
durch unbegründete Warnungen vor vermeintlichen Viren (Hoaxes)
liegen sogar noch etwas darüber.
| Wie hoch schätzen Sie die durch einen
einzelnen Vorfall verursachte(n) ...? |
| |
Ausfallzeit (in Std.) |
Kosten (in €) |
| |
höchste Nennung |
Durchschnitt |
Anzahl Nennungen |
höchste Nennung |
Durchschnitt |
Anzahl Nennungen |
| Virus |
1680 |
94 |
102 |
200 000 € |
26 228 € |
70 |
| Fehlalarm (unbegründete Fehlermeldung) |
100 |
10 |
58 |
50 000 € |
8 173 € |
34 |
| unbegründete Warnung (Hoax) |
100 |
13 |
67 |
60 000 € |
9 621 € |
41 |
Der höchste genannte Schadenswert für einen einzelnen
Virenvorfall betrug 200 000 Euro. Die durchschnittlichen
geschätzten Kosten durch einen Virus lagen mit rund
26 000 Euro in etwa bei dem dreifachen Wert der Fehlalarme.
Diese Schätzungen wirken erfreulich realistisch im Vergleich
zu aus dem amerikanischen Raum gemeldeten Virenschäden, die
durchweg erst bei Millionen-Dollar-Werten anfangen.
Bezüglich des Einfallweges für Malware dominiert die
E-Mail, lediglich bei Bootviren naturgemäß die Diskette.
Die Summe der Schädlinge, die ihren Weg über Netzwerke
(Internet und LAN) nehmen, ist ebenfalls hoch. Keine Entwarnung
gibt es allerdings auch für Datenträger als
Infektionsrisiko: Bei Fileviren, Makroviren und Würmern stehen
Disketten (vermutlich auch CD-ROMs) an zweiter Stelle, lediglich
bei trojanischen Pferden nimmt der Download aus dem Internet Rang
zwei ein. Ein überwiegender Rückgang der Vorfälle
war übrigens auch bei den Klassen der File- und Boot-Viren
nicht zu verzeichnen.
In der Folge sollten Sicherheitsmaßnahmen in Bezug auf
Malware unbedingt auf der E-Mail-Ebene beginnen, sie dürfen
aber angesichts der Datenträgerrisiken die
Arbeitsplatzcomputer nicht außer Acht lassen. Die Situation
bei den Teilnehmern der Studie zeigt nahezu vollständige
Erfassung von Servern und Client-Rechnern durch
Virenschutzmaßnahmen, allerdings Mankos bei mobilen
Endgeräten (nur 88 % mit Virenabwehr) und seltenen
Einsatz von Virenwächtern im Hintergrund, die nur weniger als
ein Fünftel der befragten Unternehmen nutzen (Details zu den Maßnahmen im zweiten
Teil der Auswertung).
| Hatten Sie 2001 Vorfälle mit Malware?
(Details) |
| |
File-Viren |
Boot-Viren |
Makro-Viren |
Würmer |
Trojanische Pferde / Backdoors |
| |
Nennungen |
Prozent |
Nennungen |
Prozent |
Nennungen |
Prozent |
Nennungen |
Prozent |
Nennungen |
Prozent |
| ja, und zwar (Mehrfachnennungen
möglich) |
|
|
|
|
|
|
|
|
|
|
| über Diskette |
57 |
31 % |
62 |
34 % |
47 |
25 % |
23 |
12 % |
17 |
9 % |
| über internes Netz |
28 |
15 % |
11 |
6 % |
35 |
19 % |
35 |
19 % |
21 |
11 % |
| über E-Mail |
101 |
55 % |
44 |
24 % |
132 |
71 % |
144 |
78 % |
92 |
50 % |
| über Internet-Download |
38 |
21 % |
10 |
5 % |
45 |
24 % |
30 |
16 % |
34 |
18 % |
| über Internet (autom.
Verbreitung) |
12 |
6 % |
3 |
2 % |
19 |
10 % |
48 |
26 % |
29 |
16 % |
| über WWW-Seite (aktive
Inhalte) |
6 |
3 % |
0 |
0 % |
7 |
4 % |
16 |
9 % |
15 |
8 % |
| unbekannte Herkunft |
28 |
15 % |
11 |
6 % |
14 |
8 % |
20 |
11 % |
21 |
11 % |
| weniger Fälle als 2000 |
41 |
36 % |
31 |
42 % |
35 |
27 % |
27 |
21 % |
16 |
18 % |
| mehr Vorfälle als 2000 |
74 |
64 % |
42 |
58 % |
93 |
73 % |
102 |
79 % |
75 |
82 % |
| nein |
38 |
15 % |
49 |
20 % |
35 |
14 % |
35 |
14 % |
45 |
18 % |
Die Sicherheit gegen neue Malware-Bedrohungen ist
erwartungsgemäß beschränkt: Jeweils um die
30 Prozent der Befragten mussten trotz
Viren-"Schutz" in den letzten zwei Jahren nennenswerte
Beeinträchtigungen durch Loveletter und Nimda erfahren. Der
ältere, aber immer noch verbreitete CIH-Virus verursachte
hingegen kaum Probleme.
![[nennenswerte Beeinträchtigungen durch
33% Loveletter,
28% Nimda,
16% Code Red,
9% SirCam,
2% CIH]](images/02-03-14-3-341.gif)
Beeinträchtigung durch verbreitete Malware
Sicherheitslage
Immer wieder bestätigt die KES-Sicherheitsstudie eine
positive Einschätzung der Informationssicherheit (ISi) im
Rechenzentrumsbereich: Nahezu drei Viertel der Befragten sehen sie
als gut bis sehr gut an. Je "weiter" sich die Systeme von
der zentralisierten zur verteilten Informationstechnik bewegen,
desto schlechter wird die Einschätzung der Sicherheitslage:
Bei Servern und Netzwerken antworten die meisten mit
"gut", bei Clients/PCs mit "befriedigend".
Deutliche Schwächen sehen die Teilnehmer im Bereich der
mobilen Endgeräte und Teleworking-PCs: Mehr als die
Hälfte der Befragten bewerteten den Stand nur mit
"ausreichend" oder "nicht ausreichend" –
30 Prozent gaben selbstkritisch die schlechteste
Bewertung.
![[ISi ist
sehr gut + gut / befriedigend + ausreichend / nicht ausr.:
Rechenzentrum 73% / 23% / 4%,
Server 53% / 45% / 2%,
IT-Netzwerk 58% / 38% / 4%,
TK-Netzwerk 51% / 44% / 5%,
Clients/PCs 26% / 62% / 12%,
mobile Endgeräte 11% / 59% / 30% ]](images/02-03-14-4-341.gif)
Bewertung der Informationssicherheit
| Wie schätzen Sie die ISi in Ihrem Haus ein, bezogen
auf...? |
Durchschnittsnote |
| Noten von "sehr gut" (1) bis "nicht
ausreichend" (5) |
| Rechenzentrum/Mainframe |
2,1 |
| Server |
2,5 |
| IT-Netzwerk |
2,5 |
| TK-Netzwerk |
2,6 |
| Clients/PCs |
3,1 |
| mobile Endgeräte (Notebooks, PDAs, ...) /
Teleworking-PCs |
3,7 |
Stellenwert der ISi
Ein seit Jahren eher trauriges Kapitel ist die Beurteilung des
Stellenwertes der IT-Sicherheit für das Top- und Mittlere
Management. So wird mit beachtlicher Kontinuität angegeben,
dass nur ein geringer Teil des Managements IT-Sicherheit als
vorrangiges Ziel der Informationsverarbeitung ansieht und lediglich
50 Prozent der Top-Manager betrachten die IT-Sicherheit als
gleichrangiges Ziel im Rahmen der Informationsverarbeitung. Ein
Vergleich mit den Werten früherer Studien zeigt, dass sich
selbst über einen langen Zeitraum nur wenig im Bewusstsein des
Top-Managements verändert hat.
| Welchen Stellenwert hat die ISi für Ihr
Top-Management? |
| |
1994 |
2000 |
2002 |
| ISi ist ein vorrangiges Ziel der
Informationsverarbeitung |
16 % |
23 % |
20 % |
| ISi ist ein gleichrangiges Ziel
der Informationsverarbeitung |
49 % |
46 % |
50 % |
| ISi ist eher ein
"lästiges Übel" |
35 % |
30 % |
29 % |
Kenntnisstand und Schulung zur ISi
Ähnlich schlecht ist die Beurteilung des Kenntnisstandes
zur IT-Sicherheit. In über 60 Prozent der Unternehmen
wird der Kenntnisstand des Top-Managements als mittel bis eher
schlecht beurteilt, bei Anwendern in weniger sensitiven Bereichen
liegt diese schlechte Beurteilung sogar bei über
80 Prozent.
| Wie beurteilen Sie den Kenntnisstand zur ISi in Ihrem
Unternehmen? |
| |
sehr gut (1) |
gut (2) |
mittel (3) |
eher schlecht (4) |
nicht beantwortbar |
| IT-Sicherheitsfachleute |
32 % |
49 % |
13 % |
1 % |
5 % |
| Anwender in hochsensitiven Bereichen |
16 % |
37 % |
25 % |
16 % |
6 % |
| Top Management |
10 % |
23 % |
32 % |
30 % |
4 % |
| Mittelmanagement |
3 % |
15 % |
46 % |
33 % |
4 % |
| Anwender in weniger sensitiven Bereichen |
2 % |
9 % |
35 % |
48 % |
6 % |
Im Zusammenhang mit der Beurteilung der Schulung und Ausbildung
ist dieses Ergebnis jedoch stärker erklärlich: So wird
das Management nur in zwölf Prozent aller Fälle über
Fragen der IT-Sicherheit regelmäßig informiert oder
geschult, wohingegen anlassbezogene Schulungen einen Wert von
57 Prozent aufweisen. Das Schwergewicht der Schulungen liegt
eindeutig bei Mitarbeitern mit besonderen Aufgabengebieten. Moderne
Fortbildungs- und Schulungs-Methoden (online oder Multimedia)
werden dabei nur zu einem sehr geringen Teil benutzt. Hier
existiert ein deutliches Rationalisierungspotenzial mit
Verbesserungsmöglichkeiten zur Erzielung eines besseren
Wissensstandes in den Unternehmen.
![[Schulung erfolgt
gar nicht / gelegentlich /regelmäßig:
Benutzer 14% / 73% / 13%,
IV-/DV-Mitarbeiter 12% / 55% / 34%,
Datenschutzbeauftragte 23% / 35% / 42%,
ISi-Beauftragte 23% / 27% / 50%,
Revisoren, Prüfer 38% / 41% / 20%,
Management 30% / 57% / 12%,
andere 58% / 40% / 2% ]](images/02-03-14-5-341.gif)
Schulungsaktivitäten
Informationsquellen
Als weiterer Input dienen Messen: 78 Prozent der Befragten
nutzen die CeBIT zur Information über IT-Sicherheit,
50 Prozent besuchen dazu die IT-SecurityArea auf der SYSTEMS,
31 Prozent den BSI-Kongress, 12 Prozent die InfoSecurity
und 10 Prozent die Security in Essen.
In der offenen Frage zu Zeitschriften wurde naheliegenderweise
die KES mit Abstand am häufigsten als Informationsquelle zur
IT-Sicherheit genannt. Überdies gaben 22 Prozent der
Antwortenden die c't an, 16 Prozent die DuD (Datenschutz
und Datensicherheit), 7 Prozent die "IT-Sicherheit".
6 Prozent die "IT-Security", 3 Prozent die
Informationweek und 1 Prozent die PC-Professional.
Bei der Suche nach aktuellen Patches gegen
Sicherheitslücken stehen Informationsseiten sowie aktive
Informationen der Hersteller mit weitem Abstand an der Spitze,
gefolgt von Mailinglisten und Informationsseiten anderer
Quellen.
Organisation
Die organisatorischen Lösungen zur Gestaltung der
IT-Sicherheit werden dominiert durch die Funktion des zentralen
Sicherheitsbeauftragten. Er ist immerhin in 36 Prozent aller
Unternehmen für die Durchführung von Risikoanalysen, in
38 Prozent für die Erstellung von Konzeptionen und in
35 Prozent für Notfall- und Eskalationsmaßnahmen
verantwortlich. Im Hinblick auf diese Aufgaben hat nur der Leiter
DV eine ähnlich starke Funktion, wobei diese bei Notfall-und
Eskalationsmaßnahmen mit 56 Prozent noch deutlich
häufiger genannt ist.
Dienstleister
73 Prozent der Befragten betreiben Outsourcing in
irgendeiner Form, wobei die Entsorgung von Datenträgern mit
Abstand an der Spitze steht. Auf Platz zwei landen Managed
Firewalls/IDS. Erstaunlich ist, dass im Hinblick auf die Bedeutung
von Business Recovery und Business Continuity diese Bereiche
zusammen mit der Auslagerung von Sicherungsfunktionen unter
30 Prozent liegen.
| Welche Funktionen haben Sie ausgelagert? |
| Basis der Prozentuierung
(Outsourcinggeber): |
144 |
| Entsorgung von Datenträgern (Papier, EDV) |
72 % |
| Managed Firewall/IDS |
48 % |
| Online-Anwendungssysteme |
40 % |
| Netzwerk-Management |
37 % |
| Datenbank-Systeme, Werkzeuge |
33 % |
| Betriebssystempflege |
32 % |
| Sicherung, Back-up-Lösungen |
29 % |
| Auftragsentwurf, Arbeitsvortbereitung,
Operating |
26 % |
| Haustechnik |
24 % |
| Überwachung, Kontrolle,
Qualitätssicherung |
16 % |
| Verwaltung, Dokumentation, Archivierung |
15 % |
| Personaleinsatz, Personalentwicklung,
Mitarbeiterweiterbildung |
15 % |
| Datenschutz gemäß BDSG |
3 % |
| Sonstiges |
22 % |
Allerdings enthalten lediglich 60 Prozent der vertraglichen
Vereinbarungen mit den Outsourcingnehmern explizite Anforderungen
an die IT-Sicherheit. Und hiervon sehen zirka ein Fünftel der
Verträge kein explizites Kontrollrecht vor. In Bezug auf die
ausdrücklichen Anforderungen an den Datenschutz ist es in den
betreffenden Verträgen nicht erheblich besser bestellt: Hier
gelten ähnliche schlechte Zahlen wie bei der Sicherheit.
| Welche Form von ISi-Beratung nutzen Sie? (Mehrfachnennungen möglich) |
| Basis der Prozentuierung
(Beratungskunden): |
154 |
| Strategie- und Managementberatung |
42 % |
| Durchführung von Risikoanalysen und
Konzeptentwicklung |
75 % |
| Durchführung von Schwachstellenanalysen |
66 % |
| Durchführung von Penetrationstests |
55 % |
| Umsetzung von Konzepten und Maßnahmen |
32 % |
| Kontrolle vorhandener Konzepte auf Eignung und
Einhaltung |
31 % |
| Sonstiges |
8 % |
Das Thema Sicherheitsberatung zeigt hingegen ein deutlich
positives Bild. So lassen sich insgesamt zirka 60 Prozent
aller befragten Unternehmen regelmäßig oder gelegentlich
durch Sicherheitsberater unterstützen. An der Spitze liegt
hier deutlich die Durchführung von Risikoanalysen und
Konzeptionsentwicklung, gefolgt von Schwachstellenanalysen,
Penetrationstests sowie der Strategie- und Managementberatung.
Besonders erfreulich ist, dass sich zirka 50 Prozent der
Unternehmen uneingeschränkt mit der Beratung zufrieden
erklären, und nur drei Prozent nicht zufrieden waren.
![[zufrieden:
49% ja,
48% ja mit Einschränkungen,
3% nein]](images/02-03-14-6-200.gif)
Zufriedenheit mit ISi-Beratung
Versicherungen
Auch das Bild der Absicherung durch Abschluss von Versicherungen
ist im Bereich IT-Sicherheit positiv zu bewerten: So geben
86 Prozent der Befragten an, eine Elektronikversicherung
abgeschlossen zu haben, die von einem Drittel auch bereits in
Anspruch genommen wurde. Allerdings handelt es sich vorrangig um
Sachversicherungen. Nicht überraschend ist der hohe Anteil von
Feuerversicherungen, da diese zu den Standards zählen. Im
Gegensatz zu der vergleichsweise hohen Inanspruchnahme der
Elektronikversicherungen müssen letztere
(glücklicherweise) vergleichsweise selten einspringen.
| Welche Versicherung aus dem Bereich ISi haben Sie ...? (Mehrfachnennungen möglich) |
| Basis der Prozentuierung: |
235 |
jeweilige Abschlüsse |
| |
abgeschlossen |
in Anspruch genommen |
| Elektronikversicherung |
202 |
86 % |
69 |
34 % |
| Sachversicherung |
194 |
83 % |
60 |
31 % |
|
Datenversicherung/Softwareversicherung |
69 |
29 % |
4 |
6 % |
| Erweiterte Datenversicherung (inkl.
Schäden durch Viren, fehlerhaftes Programmieren,
versehentliches Löschen) |
23 |
10 % |
11 |
48 % |
| Mehrkostenversicherung |
26 |
11 % |
6 |
23 % |
|
Elektronik-Betriebsunterbrechungsversicherung |
65 |
28 % |
3 |
5 % |
| Feuerversicherung |
188 |
80 % |
10 |
5 % |
| "Technologie-Police" o. ä.
(Kombination von Elektronik- u. Maschinenversicherung) |
23 |
10 % |
3 |
13 % |
| Vertrauensschaden-Versicherung |
36 |
15 % |
4 |
11 % |
| Computermissbrauch-Versicherung |
36 |
15 % |
4 |
11 % |
| Datenmissbrauch-Versicherung |
18 |
8 % |
4 |
22 % |
| Datenschutzversicherung |
29 |
12 % |
6 |
21 % |
| Datenhaftpflicht-Versicherung |
29 |
12 % |
3 |
10 % |
| Datenrechtsschutz-Versicherung |
12 |
5 % |
4 |
33 % |
| Keine der genannten |
22 |
9 % |
11 |
5 %
(von 235) |
Die Auswertungen zu Konzepten, Methoden und Maßnahmen der
IT-Sicherheit folgen in der nächsten KES im August. Wegen der
aktuellen Entwicklung im Bereich der elektronischen Signaturen
(vgl. S. 24) haben wir allerdings die entsprechenden Fragen
vorgezogen. Nur rund ein Viertel der befragten Unternehmen nutzt
digitale Signaturen beispielsweise im Rahmen der B2B-Kommunikation.
Auf die Frage nach der verwendeten Infrastruktur haben
dementsprechend deutlich weniger Teilnehmer geantwortet, sodass
sich die Prozentangaben der abgedruckten Tabelle nur auf eine recht
kleine Stichprobe beziehen. Selbst dort zeigt sich –
abgesehen von reinen Softwarelösungen – eine geringe
Marktdurchdringung mit einem durchgängig hohen Antwortwert der
Möglichkeit "nicht vorgesehen". Auf einem
abgeschlagenen zweiten Platz in Sachen Realisierung liegen
Chipkarten. In Sachen gesetzeskonformer Signaturen haben die
fortgeschrittenen elektronischen Signaturen noch die besten
Aussichten.
| Welche Infrastruktur nutzen Sie für
digitale/elektronische Signaturen? |
| |
B2B-Server |
B2C-Server |
Client/PC |
mobile Endgeräte |
| |
realisiert |
geplant |
nicht vorge-
sehen |
realisiert |
geplant |
nicht vorge-
sehen |
realisiert |
geplant |
nicht vorge-
sehen |
realisiert |
geplant |
nicht vorge-
sehen |
| nur Software |
58 % |
7 % |
34 % |
53 % |
12 % |
35 % |
64 % |
15 % |
21 % |
64 % |
3 % |
33 % |
| Hardwaremodule |
8 % |
15 % |
77 % |
9 % |
16 % |
76 % |
0 % |
10 % |
90 % |
9 % |
15 % |
76 % |
| Hardware-Token |
15 % |
15 % |
71 % |
9 % |
15 % |
77 % |
24 % |
8 % |
67 % |
9 % |
17 % |
74 % |
| Chipkarten |
25 % |
11 % |
64 % |
22 % |
12 % |
66 % |
37 % |
19 % |
44 % |
9 % |
32 % |
60 % |
| "Klasse-2"-Chipkartenterminal (sichere
PIN-Eingabe) |
12 % |
8 % |
80 % |
9 % |
4 % |
87 % |
13 % |
4 % |
83 % |
0 % |
4 % |
96 % |
| "Klasse-3"-Chipkartenterminal (mit
eigenem Display) |
11 % |
0 % |
89 % |
7 % |
2 % |
91 % |
7 % |
0 % |
93 % |
0 % |
0 % |
100 % |
| laut Signaturgesetz (SigG) |
0 % |
14 % |
86 % |
8 % |
11 % |
82 % |
8 % |
10 % |
83 % |
0 % |
5 % |
95 % |
| fortgeschrittene Signatur |
15 % |
24 % |
61 % |
10 % |
26 % |
64 % |
6 % |
23 % |
70 % |
0 % |
15 % |
85 % |
| qualifizierte Signatur |
7 % |
14 % |
80 % |
0 % |
23 % |
78 % |
13 % |
20 % |
67 % |
4 % |
21 % |
74 % |
| qualifizierte Signatur mit
Anbieterakkreditierung |
15 % |
4 % |
80 % |
14 % |
12 % |
74 % |
10 % |
10 % |
80 % |
4 % |
4 % |
91 % |
Das Thema PKI hat deutlich an Interesse gewonnen: über
20 Prozent der befragten Unternehmen haben bereits eine PKI
realisiert (2000 waren es 7 %), bei 53 Prozent der
Unternehmen bestehen Planungen zur Implementierung von PKIs (2000:
31 %). An der Spitze der Einsatzzwecke steht
E-Mail-Verschlüsselung, gefolgt vom Einsatz an
Tele-Arbeitsplätzen, Dateiverschlüsselung und VPN.
Hierbei sind die Einsatzzwecke sowohl bei "realisiert"
wie bei "geplant" nahezu identisch. Für
81 Prozent ist das Herkunftsland der PKI-Lösung von
Bedeutung. Bei den weiteren Auswahlkriterien steht die
Automatisierung der Prozesse zur Erstellung und Verwaltung von
Zertifikaten mit 72 Prozent aller Nennungen an der Spitze.
Teilnehmer
Basierend auf den statistischen Angaben, die abschließend
erfragt wurden, ist festzustellen, dass in erster Linie große
mittelständische Unternehmen sowie Großunternehmen und
-institutionen an der Untersuchung teilgenommen haben. Der
Maximalwert bei den Beschäftigten liegt bei mehreren
Hunderttausend, wobei die durchschnittliche Anzahl der Mitarbeiter
über 8000 beträgt. Die durchschnittliche Anzahl von
Beschäftigten in der Informationsverarbeitung ist mit
über 400 ebenfalls als sehr hoch anzusehen und wird teilweise
durch eine Anzahl sehr großer Institutionen beeinflusst. Bei
Unternehmen, die Mitarbeiter ausschließlich für Aufgaben
der IT-Sicherheit beschäftigen, liegt auch dieser Wert mit
einem Durchschnitt von 16 über einem gesamtwirtschaftlich
anzunehmenden Mittel.
Die IT-Ausstattung belegt die These der
"Großen". Durchschnittlich sind bei den Teilnehmern
der Studie über 4000 Clients/PCs vorhanden, bei einem
Maximalwert von 120 000. Die größte Institution
verfügt über 200 Mainframes, was stolzen 23 Prozent
aller 883 Großrechner entspricht, die im Rahmen dieser
Analyse genannt werden. Bemerkenswert ist weiterhin, dass bereits
über zehn Prozent der genannten Endgeräte auf mobile
Systeme wie Notebooks oder PDAs entfallen. Ein Wert von fast
150 000 solcher Geräte belegt zum einen das Vordringen
der mobilen Technik, zeigt aber auch ein erhöhtes
Risikopotenzial auf, das deren Nutzung begründet –
besonders angesichts der aufgezeigten schlechten Einschätzung
der Informationssicherheit für mobile Endgeräte.
![[Teilnehmer aus:
225 DE,
20 CH,
5 AT,
3 USA, 2 Niederlande, 2 Luxemburg, 1 Schweden]](images/02-03-14-8-200.gif)
(Haupt-)Sitz der teilnehmenden Institutionen
Branchen
Über ein Fünftel der Befragten sind der
Kreditwirtschaft zuzurechnen, gut ein Zehntel bezeichnen sich als
Berater; den gleichen Anteil haben Behörden, denen man noch
die fast fünf Prozent der Institutionen aus dem Bereich
Wissenschaft/Forschung/Schulen zuordnen kann, um den
öffentlichen Sektor zusammenzufassen. Generell sind gerade
diejenigen Institutionen und Unternehmen vertreten, bei denen
aufgrund ihrer Tätigkeit von einem erhöhten
Sicherheitsbewusstsein auszugehen ist. Die teilweise immer noch
erschreckenden Ergebnisse entstammen somit einer eher positiv
verzerrten Stichprobe, bei der man eine erhöhte
Sensibilisierung in Sachen Sicherheit vermuten kann. Die
IT-Security dürfte sich im Allgemeinen noch deutlich
schlechter darstellen.
![[21% Kreditwirtschaft,
12% Berater,
12% Behörden,
9% Versicherungen,
6% übrige Industrie,
5% TK-Dienstleister,
5% Outsourcing-Dienstleister,
5% Wissenschaft/Forschung/Schulen,
...]](images/02-03-14-7-341.gif)
Branchenzuordnung der Teilnehmer an der
KES/KPMG-Sicherheitsstudie
Budgets
149 Teilnehmer haben Angaben zum Budget für die
Informationsverarbeitung – inklusive der Personalkosten
– gemacht, ihre Unternehmen veranschlagen hierfür
insgesamt 132 781 000 Euro. 125 Institutionen gaben
darüber hinaus Informationen über das Budget für
Informationssicherheitsmaßnahmen an, die bei
7 682 927 Euro liegen (inkl. Personal). Dabei ist
festzustellen, dass die Antworten insbesondere bei den Angaben zum
IT-Sicherheitsbudget zu 95 Prozent nur geschätzt werden
konnten und nur bei fünf Prozent der Angaben hierfür eine
Grundlage im Rahmen der Budgetierung oder des Rechnungswesens
benutzt wurde.
Datenwert
Den immensen Wert der vorgehaltenen Daten verdeutlicht die
Schlussfrage nach den Auswirkungen der Vernichtung aller
elektronisch gespeicherten Daten: Rund 16 Prozent der
Befragten waren der Auffassung, dass ein solcher Verlust
gleichbedeutend mit dem finanziellen Ende des Unternehmens sei
(Konkurs, Unternehmensende, Bankrott). 46 Prozent
schätzten einen Schaden von über einer Million Euro,
weitere 21 Prozent sahen mehr als 250 000 Euro Schaden
bei totalem Datenverlust. Die konkret geschätzten Zahlen
weisen auf beachtliche Schadenshöhen hin, die sich aber in
einem wirtschaftlich plausiblen Rahmen halten. Es liegt nahe zu
vermuten, dass die Prognosen zum Unternehmensende entweder
Extrembeispiele sind oder aber die Antwortenden eine etwas
pauschale Wertung vorgenommen haben.
| Bitte schätzen Sie: Wenn in Ihrem Haus alle
elektronisch gespeicherten Daten vernichtet würden, wie hoch
würden Sie den Verlust beziffern? |
| Basis der Prozentuierung: |
147 |
| Konkurs/Pleite |
7 % |
| Unternehmensende |
2 % |
| Bankrott |
7 % |
| nicht bezifferbar |
6 % |
| unter 100 000 € |
5 % |
| 100 000–250 000 € |
6 % |
|
250 000–1 000 000 € |
21 % |
| über 1 000 000 € |
46 % |
Prof. Dr. Reinhard Voßbein ist
Geschäftsführer der UIMCert GmbH. Dr. Jörn
Voßbein ist Geschäftsführer der UIMC
Dr. Voßbein GmbH & Co. KG (![[externer Link]](../../images/link.gif)
www.uimc.de).
© SecuMedia-Verlags-GmbH,
D-55205 Ingelheim,
KES 2002/3, Seite 14
Zurück zum
Inhalt 
![[Risikoveränderungsfaktor:
+0,74 Malware,
+0,56 Hacking,
+0,40 unbefugte Kenntnisnahme,
+0,24 Software-Risiken,
+0,15 Irrtum und Nachlässigkeit eigener Mitarbeiter,
...
-0,08 Hardware-Risiken,
-0,22 Höhere Gewalt]](images/02-03-14-1.gif)
![[versuchte Angriffe:
43% Hacking,
29 % DoS,
19 % unbefugtes Lesen,
9 % Abhören,
7 % Manipulation,
37 % nichts von alledem ]](images/02-03-14-2.gif)
![[nennenswerte Beeinträchtigungen durch
33% Loveletter,
28% Nimda,
16% Code Red,
9% SirCam,
2% CIH]](images/02-03-14-3.gif)
![[ISi ist
sehr gut + gut / befriedigend + ausreichend / nicht ausr.:
Rechenzentrum 73% / 23% / 4%,
Server 53% / 45% / 2%,
IT-Netzwerk 58% / 38% / 4%,
TK-Netzwerk 51% / 44% / 5%,
Clients/PCs 26% / 62% / 12%,
mobile Endgeräte 11% / 59% / 30% ]](images/02-03-14-4.gif)
![[Schulung erfolgt
gar nicht / gelegentlich /regelmäßig:
Benutzer 14% / 73% / 13%,
IV-/DV-Mitarbeiter 12% / 55% / 34%,
Datenschutzbeauftragte 23% / 35% / 42%,
ISi-Beauftragte 23% / 27% / 50%,
Revisoren, Prüfer 38% / 41% / 20%,
Management 30% / 57% / 12%,
andere 58% / 40% / 2% ]](images/02-03-14-5.gif)
![[zufrieden:
49% ja,
48% ja mit Einschränkungen,
3% nein]](images/02-03-14-6.gif)
![[Teilnehmer aus:
225 DE,
20 CH,
5 AT,
3 USA, 2 Niederlande, 2 Luxemburg, 1 Schweden]](images/02-03-14-8.gif)
![[21% Kreditwirtschaft,
12% Berater,
12% Behörden,
9% Versicherungen,
6% übrige Industrie,
5% TK-Dienstleister,
5% Outsourcing-Dienstleister,
5% Wissenschaft/Forschung/Schulen,
...]](images/02-03-14-7.gif)