Die Teilnehmer an der KES/KPMG-Sicherheitsstudie sind üblicherweise große Unternehmen; in diesem Jahr mit durchschnittlich 8 000 Mitarbeitern, jeweils über 400 davon in der Informationsverarbeitung. Auch die vertretenen Branchen legen mit einem beträchtlichen Anteil von Kreditwirtschaft, Behörden und Versicherungen den Schluss nahe, dass es sich bei den Befragten um eine Stichprobe handelt, die eine erhöhte Sensibilisierung in Sachen Sicherheit aufweist. Im Allgemeinen dürften daher Maßnahmen und Konzepte zur IT-Security eher noch weniger verbreitet sein als es die – teilweise noch immer erschreckenden – Ergebnisse dieser Studie darlegen.
Genauere Hinweise zu statistischen Daten der Teilnehmer an der KES/KPMG-Sicherheitsstudie finden Sie im ersten Teil unseres Lageberichts zur IT-Sicherheit (s. KES 2002/3, S. 14) zusammen mit Auswertungen zur aktuellen und zukünftigen Risikosituation, dem Kenntnisstand und Stellenwert der Informationssicherheit (ISi) sowie Informationen über Outsourcing, Consulting und Versicherungen. Die konkreten Erkenntnisse zu digitalen Signaturen und Public Key Infrastructures (PKI) haben wir – aus aktuellem Anlass – ebenfalls bereits in der vorigen KES veröffentlicht.
----------Anfang Textkasten----------
Die folgenden Unternehmen fördern die
Durchführung unserer aktuellen Sicherheitsstudie:
Für zusätzliche Anregungen und Hinweise bedanken wir uns beim Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie bei Prof. Dr. Alfred Büllesbach – DaimlerChrysler AG, Dr. Gerhard Weck – INFODAS Gesellschaft für Systementwicklung und Informationsverarbeitung mbH, Hans-Joachim Gaebert Unternehmensberatung, Dr. Louis Marinos – MNEMON sowie bei der UIMC Dr. Voßbein GmbH & Co KG, der auch die wissenschaftliche Beratung und Auswertung dieser Studie obliegt.
Nicht zuletzt gilt unser Dank den Verbänden und Anwendervereinigungen, die den Fragebogen der Studie ihren Mitgliedern zugänglich machen, und natürlich den Teilnehmern selbst.
----------Ende Textkasten----------
Das Thema IT-Sicherheitsstrategie und -Konzepte erwies sich in nahezu allen KES-Studien in der Vergangenheit als eher notleidend. Hier scheint sich eine gewisse Verbesserung abzuzeichnen: 56 Prozent der Befragten gaben an, eine schriftlich fixierte Strategie für die IT-Sicherheit zu haben. Auch die Sicherheitsmaßnahmen basieren zu über 70 Prozent auf schriftlichen Formulierungen. Die Nutzung von Internet und E-Mail beruht sogar zu 86 Prozent auf einer schriftlich fixierten Konzeption. Die genannten Punkte sind somit in den betreffenden Unternehmen kontrollierbar, revisionsfähig und nach den Grundsätzen ordnungsmäßiger Projektabwicklung nachvollziehbar. Dies bestätigt sich auch darin, dass lediglich ein Viertel der Teilnehmer die Einhaltung der vorgesehenen Maßnahmen nicht prüft, wohingegen bei denjenigen, die Kontrollen durchführen, die Revision eine dominierende Position einnimmt.
Überprüfung der Einhaltung der Maßnahmen
Sogar 84 Prozent der Teilnehmer prüfen die Eignung der Konzepte, vor allem durch erneute Schwachstellen-und Risikoanalysen sowie Notfall- und Wiederanlaufübungen. Das ist auch dringend geboten: Denn nahezu 90 Prozent aller Überprüfungen haben Schwachstellen aufgedeckt, deren Beseitigung bei zwei Drittel der befragten Unternehmen noch andauert. Lediglich bei einem Prozent wurden anschließend keine Aktivitäten ergriffen. Die Überprüfungen erstrecken sich bei rund 60 Prozent nur auf einzelne Systeme, bei immerhin 33 Prozent auf alle geschäftskritischen Systeme.
Ein EDV-Notfall-/Wiederanlaufkonzept mit schriftlicher Fixierung und Validierung besitzen allerdings nur 26 Prozent der Unternehmen. Zwar geben weiterer zirka 60 Prozent an, ein solches Konzept zu haben, dieses sei aber entweder nicht schriftlich fixiert oder nicht validiert und freigegeben worden. An der Sinnhaftigkeit solcher Verfahrensweisen dürften Zweifel angebracht sein. Die Hochverfügbarkeitsanforderungen von E-Business-Systemen sind nur bei einem Bruchteil der untersuchten Unternehmen in den Konzepten berücksichtigt.
Die (fortdauernde) Eignung der Konzepte / Richtlinien wird überprüft mithilfe von ... (Mehrfachnennungen möglich) | |
---|---|
Basis der Prozentuierung: | 258 |
(erneuten) Schwachstellenanalysen | 44 % |
(erneuten) Risikoanalysen | 40 % |
Übungen (Notfall, Wiederanlauf) | 31 % |
Penetrationsversuchen | 27 % |
Simulationen oder Szenarien | 12 % |
Sonstiges | 6 % |
Es erfolgt keine Überprüfung | 16 % |
Der Sinn von Schwachstellenkonzeptionen und Sicherheitsmaßnahmen kann nur in einer Verbesserung der Sicherheitssituation liegen. Bei der Frage nach Hindernissen für eine Verbesserung der IT-Sicherheit steht fehlendes Problembewusstsein mit weitem Abstand an der Spitze: So fehlte es nach Aussage der Befragten in zwei Drittel aller Fälle am richtigen Bewusstsein der Mitarbeiter, dicht gefolgt von dem des mittleren Managements und immerhin noch bei 50 Prozent des Top-Managements. 46 Prozent der Befragten nannten fehlendes Geld als wesentliches Hindernis für die Beseitigung von Sicherheitsmängeln. Die Auswertung der Mehrfachnennungen zeigt, dass im Durchschnitt 4,7 Hindernisse bestehen, in den Unternehmen und Behörden also meist ein ganzer Kanon von Problemen existiert, die eine Verbesserung der Informationssicherheit erschweren.
Welche Probleme behindern Sie am meisten bei der Verbesserung der ISi? (Mehrfachnennungen möglich) | ||
---|---|---|
Basis der Prozentuierung: 260 | ||
Es fehlt an Bewusstsein bei den Mitarbeitern | 65 % | |
Es fehlt an Bewusstsein beim mittleren Management | 61 % | |
Es fehlt an Bewusstsein und Unterstützung im Top-Management | 50 % | |
Es fehlt an Geld | 46 % | |
Es fehlt an Möglichkeiten zur Durchsetzung sicherheitsrelevanter Maßnahmen | 38 % | |
Es fehlen verfügbare und kompetente Mitarbeiter | 37 % | |
Die Kontrolle auf Einhaltung ist unzureichend | 34 % | |
Es fehlen die strategischen Grundlagen / Gesamt-Konzepte | 34 % | |
Anwendungen sind nicht für ISi-Maßnahmen vorbereitet | 22 % | |
Es fehlen realisierbare (Teil-)Konzepte | 21 % | |
Die vorhandenen Konzepte werden nicht umgesetzt | 20 % | |
Es fehlen geeignete Methoden und Werkzeuge | 18 % | |
Es fehlen geeignete Produkte | 12 % | |
Es fehlt an praxisorientierten Sicherheitsberatern | 10 % | |
Sonstiges | 6 % | |
Keine | 4 % |
Diese Problematik zeigt sich auch darin, dass fast 70 Prozent der Befragten angeben, Sicherheitsaspekte seien bei der Beschaffung von EDV-Systemen eher zweitrangig oder unbedeutend. Zwei Drittel der befragten Unternehmen verzichten auf eine Verifikation der Erfüllung von Sicherheitsanforderungen vor der Inbetriebnahme von Systemen.
Das Thema Risikobewertung ist seit den grundlegenden Arbeiten des Bundesamts für Sicherheit in der Informationstechnik (BSI) aus der Sicherheitsdiskussion nicht mehr wegzudenken. Erfreulicherweise führen 21 Prozent der befragten Unternehmen eine Risiko- und Schutzbedarfsbewertung für alle Anwendungen und Systeme durch, immerhin 49 Prozent zumindest für einzelne Systeme. 30 Prozent der Teilnehmer gaben an, dass bei ihnen keine Risikobewertung vorgenommen wird. Hierbei wird die Klassifizierung durch die Beurteilung des Imageverlusts dominiert, gefolgt von Verstößen gegen Gesetze, Vorschriften und Verträge. Die Gruppe der direkten und indirekten finanziellen Schäden landet hingegen nur im Mittelfeld.
Wie wichtig sind die folgenden Kriterien für die Klassifizierung von Anwendungen / Systemen in Ihrem Haus? | ||||
---|---|---|---|---|
sehr wichtig (2) | wichtig (1) | unwichtig (0) | Bedeutungsfaktor | |
Imageverlust | 60 % | 31 % | 9 % | 1,51 |
Verstöße gegen Gesetze / Vorschriften / Verträge | 54 % | 39 % | 7 % | 1,47 |
direkter finanzieller Schaden durch Manipulationen an finanzwirksamen Informationen | 52 % | 32 % | 16 % | 1,36 |
Verzögerung von Arbeitsabläufen | 44 % | 46 % | 9 % | 1,35 |
Schaden bei Dritten / Haftungsansprüche | 30 % | 51 % | 19 % | 1,11 |
indirekte finanzielle Verluste | 28 % | 41 % | 31 % | 0,98 |
direkter finanzieller Schaden an Hardware u. ä. | 27 % | 44 % | 29 % | 0,97 |
Verstöße gegen interne Regelungen | 13 % | 59 % | 28 % | 0,85 |
Angesichts der hohen Bedeutung, die Gesetzen bei der Risikobewertung eingeräumt wird, nehmen die Teilnehmer der Studie Probleme, die aus Gesetzen und Regelungen für die Unternehmen hervorgehen, häufig in einem zu geringen Maße wahr. Die Antworten zur Umsetzung der Gesetze mussten allerdings mit einer gewissen Vorsicht interpretiert werden, da sie teilweise inkonsistent zu den Relevanz- und Bekanntheits-Angaben wirken. Das bekannteste Gesetz ist eindeutig das Bundesdatenschutzgesetz (BDSG): 74 Prozent der Befragten gaben zudem an, dass das BDSG für sie auch relevant sei – aufgrund der Befragtenstruktur müsste man jedoch eine noch höhere Durchdringung erwarten. In immerhin knapp zwei Dritteln der befragten Unternehmen wird das BDSG umfassend umgesetzt.
Schlechtere Ergebnisse zeigten sich für die Telekommunikations- und Teledienste-Gesetze, sowohl beim Bekanntheitsgrad als auch in der Umsetzung: Jeweils rund 25 Prozent sind die Regelungen von TKG, TDG sowie der zugehörigen Datenschutzbestimmungen gänzlich unbekannt. Von den Teilnehmern, die Angaben zur Umsetzung dieser Bestimmungen gemacht haben, bezeichneten nur ein Viertel diese als umfassend. Angesichts der Bedeutung gerade der Teledienstegesetze für das E-Business sowie die Protokollierung auf Firewalls und Webservern (vgl. KES 2000/5, S. 6) ist das eine ernüchternde Quote.
Als ähnlich unbekannt erweist sich bei den Befragten das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG), das Unternehmen unter anderem zur Einrichtung von Risikomanagementsystemen verpflichtet. Die Formulierung des KonTraG wendet sich zwar unmittelbar nur an den Vorstand börsennotierter Gesellschaften, die Gesetzesbegründung legt aber nach Meinung vieler Experten den Schluss nahe, dass sich ähnliche Verpflichtungen auch für andere Unternehmensformen aus den Sorgfaltspflichten der Geschäftsführer ergeben.
Relevanz und Bekanntheit der Gesetze
Die für die Beurteilung der IT-Sicherheit eingesetzten methodischen Vorgehensweisen und Software-Tools werden dominiert von checklistengestützten Schwachstellenanalysen, gefolgt von Verfahren nach dem IT-Grundschutzhandbuch des BSI. Die "Verfolgergruppe" bilden selbst und von Beratern entwickelte Verfahren, Softwareanalyse-Tools sowie das IT-Sicherheitshandbuch des BSI.
An der Spitze der Prüfungsobjekte stehen Datenklassifizierung und Zugriffsrechte gefolgt von der Ablauforganisation. Eine zweite eng beieinander liegende Gruppe bilden softwareorientierte Prüfungen: Softwareeinsatz, -entwicklung und der -funktionalität. Auch Konzeptionen und Zielsetzungen werden noch von über 40 Prozent einer ISi-orientierten Prüfung unterzogen.
Im Rahmen von Prüfungen (z. B. durch interne Revision, Wirtschaftsprüfer) werden unter ISi-Aspekten geprüft: | |
---|---|
Basis der Prozentuierung: | 254 |
Konzeption und Zielsetzung | 41 % |
Aufbauorganisation | 39 % |
Ablauforganisation (z. B. für einzelne Vorgänge, Verfahren) | 56 % |
Software (Korrektheit, Fehlerfreiheit usw.) | 41 % |
Software-Entwicklung (inkl. Test- und Freigabeverfahren) | 42 % |
Software-Einsatz | 53 % |
Übereinstimmung der System-Konfiguration mit Vorgaben | 35 % |
Datenklassifizierung und Zugriffsrechte | 57 % |
Change Management (z. B. Änderungshistorie) | 40 % |
Virenschutz | 38 % |
Sonstiges | 7 % |
nichts Derartiges | 22 % |
Die Erfassung der realisierten, geplanten und nicht vorgesehenen Maßnahmen zur Erhöhung der IT-Sicherheit erfolgte in einer komplexen Tabelle, wobei einige Maßnahmen nochmals in Untergruppen genauer behandelt wurden. Bei der Auswertung wurde diese Tabelle zur besseren Übersicht zusätzlich in sinnvolle Einzeltabellen zerlegt, zumal die Bezugsgrundlagen der Prozentuierung durch unterschiedliche Stellungnahmen oder fehlende Antworten ständig wechseln. Dabei lag unser besonderes Augenmerk auf den bereits realisierten Maßnahmen. In der Gesamtansicht ist die Differenz zwischen dem Prozentanteil derjenigen Unternehmen, die eine Maßnahme realisiert haben, und der Gesamtheit von 100 Prozent jeweils in denjenigen Unternehmen zu sehen, die die betreffende Maßnahme erst planen oder aber nicht vorgesehen haben. Grundsätzlich haben die Serversysteme den höchsten Realisationsstand im Hinblick auf Sicherheit.
Gesamtansicht der Maßnahmen, die realisiert wurden. | |||
---|---|---|---|
Server | Clients | mobile Endgeräte (Notebooks, PDAs) | |
realisiert | realisiert | realisiert | |
Physische Sicherheit | 99 % | 85 % | 66 % |
Authentisierung | 98 % | 97 % | 95 % |
Virenschutzmechanismen | 98 % | 97 % | 88 % |
Firewalls | 98 % | 58 % | 48 % |
Unterbrechungsfreie Stromversorgung (USV) | 97 % | 59 % | 29 % |
Klimatisierung | 94 % | 40 % | 27 % |
Proxy-Server | 91 % | 67 % | 57 % |
Protokollierung unberechtigter Zugriffe | 87 % | 72 % | 71 % |
Reserve-Netzzugang zur Ausfallüberbrückung | 79 % | 68 % | 56 % |
Rückrufautomatik bei Modemzugriff | 77 % | 48 % | 51 % |
physikalisches Löschen von Datenträgern | 76 % | 64 % | 56 % |
Verschlüsselung | 70 % | 67 % | 67 % |
Benutzerverzeichnis mit Security-Policy | 69 % | 61 % | 59 % |
Content Inspection/Filtering (Adress-/Inhaltsfilter) | 66 % | 32 % | 31 % |
Intrusion Detection System (IDS) | 43 % | 12 % | 5 % |
Public Key Infrastructure (PKI) | 20 % | 23 % | 18 % |
Die Teilübersicht zu den Authentisierungsmaßnahmen zeigt leider immer noch eine starke Dominanz des Passworts. Die biometrischen Verfahren erweisen sich in der derzeitigen Praxis generell als bedeutungslos und liegen auch in der Planung regelmäßig nur auf Platz zwei hinter den Chipkarten.
Realisierte Maßnahmen zur Authentisierung
Die Maßnahmen zur Verschlüsselung zeigen eine klare Dominanz bei ausgewählten sensitiven Daten – besonders positiv fällt auf, dass vor allem die Festplatten und Dateien mobiler Endgeräte in hohem Maße chiffriert werden.
Detaillierte Übersicht der Maßnahmen zur Verschlüsselung | |||
---|---|---|---|
Server | Clients | mobile Endgeräte (Notebooks, PDAs) | |
realisiert | realisiert | realisiert | |
Verschlüsselung von | 100 % =147 |
100 % =132 |
100 % =134 |
sensitiven Dateien | 54 % | 51 % | 69 % |
Festplatten (kpl.) | 16 % | 17 % | 46 % |
Archivdatenträgern/Backups | 24 % | 12 % | 11 % |
LAN-/Intranet-Verbindungen | 39 % | 40 % | 32 % |
WAN/Internet-Verbindungen | 59 % | 55 % | 44 % |
Telefon | 10 % | 8 % | 4 % |
Fax | 7 % | 8 % | 6 % |
46 % | 60 % | 46 % |
Bei der konkreten Frage, ob man E-Mail verschlüssele, sofern der Kommunikationspartner über einen Kryptoschlüssel verfügt, antworteten 44 Prozent der Befragten, dies für sensitive Nachrichten zu tun, 13 Prozent bei allen externen E-Mails. Vier Prozent gaben an, jede Nachricht, die verschlüsselt werden kann, zu chiffrieren. An der Spitze der verwendeten Standards steht eindeutig PGP, mit nahezu dem doppelten Wert wie S/MIME. Im Vergleich zu den eingesetzten Verschlüsselungsverfahren ist die Verwendung digitaler Signaturen noch außerordentlich gering verbreitet (s. KES 2002/3, S. 14).
Nutzung der E-Mailverschlüsselung, sofern der
Kommunikationspartner über einen Kryptoschlüssel
verfügt
Virenschutzmechanismen wurden wenig überraschend für nahezu alle Clients und Server als realisiert gemeldet – lediglich bei mobilen Endgeräten ist mit 88 Prozent eine vergleichsweise geringe Durchdringung vorhanden. Bei der Detailfrage nach den konkreten Vorsorgemechanismen führen die Virenscanner klar mit 88 Prozent, wobei immerhin 51 Prozent auf Servern/Gateways und PCs aus Sicherheitsgründen Software von zwei oder mehr verschiedenen Anbietern einsetzen.
Einsatz von Anti-Viren-Software verschiedener Hersteller auf
Servern/Gateways beziehungsweise PC-Systemen
77 Prozent der befragten Unternehmen nutzen zudem Prüfsummenprogramme. Über 75 Prozent der Befragten sind der Auffassung, dass die getroffenen Maßnahmen auch eine hinreichende Wirksamkeit gegen Makroviren bei Office-Dokumenten und gegen onlineübertragene Schadsoftware haben (zum Beispiel in E-Mail-Anhängen oder Downloads) – je 5 Prozent halten den Schutz für nicht ausreichend, der Rest ist sich nicht sicher.
Intrusion Detection Systems (IDS) sind nach wie vor relativ selten. Um die 40 Prozent der befragten Unternehmen hat IDS im Einsatz, in etwa die gleiche Zahl plant den Einsatz auf Serversystemen. Bei der Auswertung von Log-Dateien zeigte sich, dass Firewall- und Betriebssystem-Protokolle am sorgfältigsten durchgesehen werden, zu einem beträchtlichen Teil mehr als einmal pro Woche. Die Log-Files von Netzwerkkomponenten (Router, Switches usw.) sowie Web- und E-Commerce-Applikationen prüfen die Befragten hingegen zu einem größeren Anteil anlassbezogen oder gar nicht.
Nahezu zwei Drittel der Unternehmen haben in den letzten zwölf Monaten einen Penetrationstest in Auftrag gegeben, wobei 78 Prozent dies in Bezug auf die Internet-Infrastruktur und 50 Prozent in Bezug auf kritische Systeme von innen durchführten.
Setzen Sie Intrusion Detection Systeme ein? | ||||
---|---|---|---|---|
Basis der Prozentuierung (Institutionen, die IDS einsetzen): | 82 | |||
netzbasiert | hostbasiert | zentrale Auswertung der Logfiles | unveränderliche Speicherung der Logfiles | |
Firewall zum Internet | 55 % | 33 % | 54 % | 23 % |
DMZ | 43 % | 23 % | 34 % | 11 % |
Interne Firewalls | 11 % | 5 % | 15 % | 2 % |
Intranet/LAN | 23 % | 12 % | 11 % | 7 % |
Auch bei der Frage nach der Bedeutung für das unternehmensweite Security-Management zeigten sich IDS als weniger wichtig und landeten nur auf Rang sechs. An der Spitze steht eindeutig die zentrale Überwachung der eingesetzten Security-Systeme; nur vier Teilnehmer sahen dies als unwichtig an. 92 Prozent erachten eine plattformübergreifende Benutzerverwaltung für sehr wichtig oder wichtig. Für tendenziell unwichtig wurde Kontrolle und Überwachung von Internet-Missbrauch gehalten: Hier handelt es sich immerhin um 24 Prozent, die diesem Merkmal eine niedrige Priorität beimessen.
Bewertung der Komponenten des Security-Managements
Maßnahmen zur physischen Sicherheit sind vorrangig für Server implementiert, hierbei dominiert die Zutrittskontrolle. Nicht unerwartet sind auch Einbruchs- und Brandmeldesysteme sowie Löschanlagen recht verbreitet. Positiv ist auch ein relativ hoher Wert von Maßnahmen gegen Hardwarediebstahl bei den mobilen Endgeräten (58 %) zu werten, wobei hier eine genauere Analyse der eingesetzten Maßnahmen von Interesse sein könnte. Generell geringe Beachtung finden Schutzmaßnahmen gegen kompromittierende Abstrahlung, eine in der Vergangenheit häufig überschätzte Gefahr.
Mit 89 Prozent der Teilnehmer haben erwartungsgemäß viele die Stromversorgung ihrer EDV mit Überspannungsschutz ausgerüstet; Daten-, Telefon- und Modemleitungen sind bei 43 Prozent der Befragten geschützt. Wer keinen Überspanunngsschutz realisiert hat, hält vor allem das entsprechende Risiko für wenig gravierend. Eine generelle Bewertung physischer Risiken im Sicherheitskonzept findet übrigens nur bei 30 Prozent der Befragten statt.
Server | Clients | mobile Endgeräte (Notebooks, PDAs) | |
---|---|---|---|
realisiert | realisiert | realisiert | |
Physische Sicherheit durch | 100 % =253 |
100 % =144 |
100 % =90 |
Zutrittskontrolle | 86 % | 66 % | 46 % |
Bewachung | 46 % | 35 % | 21 % |
Video-Überwachung | 28 % | 10 % | 1 % |
Einbruchsmeldesysteme | 70 % | 48 % | 27 % |
Schutz von Glasflächen gegen Durchbruch / Durchwurf | 56 % | 26 % | 8 % |
Sicherheitstüren | 76 % | 32 % | 20 % |
Brandmeldesysteme | 83 % | 60 % | 31 % |
Löschanlagen | 50 % | 22 % | 8 % |
andere Meldesysteme (z. B. Gas, Staub, Wasser) | 38 % | 8 % | 4 % |
Datensicherungsschränke/-räume | 80 % | 32 % | 26 % |
Schutz gegen kompromittierende Abstrahlung | 13 % | 3 % | 0 % |
Maßnahmen gegen Hardwarediebstahl | 42 % | 35 % | 57 % |
Ein wesentliches Merkmal zur Sicherstellung der Business Continuity ist das Vorhalten wesentlicher Systemkomponenten an verschiedenen Orten. Hier zeigt sich, dass die Kooperation mit einem externen Anbieter bei denjenigen, die überhaupt eine Auslagerung praktizieren, an letzter Stelle steht. Auf Rang eins befindet sich die Auslagerung in einem anderen Gebäude, gefolgt von der in einem anderen Brandabschnitt.
Bei der Bereitstellung für längere Ausfälle dominieren Cluster und Load Balancing mit Überkapazitäten sowie die "warme Lösung", bei der komplette Räume mit wichtiger Hardware vorgehalten werden. In den letzten Jahren haben zudem auch Konfigurationen mit identischen Netzen größere Bedeutung erlangt. Von denjenigen Unternehmen, die Verträge mit externen Dienstleistern/Partnern abgeschlossen haben, stehen Verträge über die schnelle Lieferung von Hardware an der Spitze, dicht gefolgt über Verträge zur Nutzung eines stationären Ausweichrechenzentrums. Die Containerlösungen sind der Anzahl der Nennungen nach weit entfernt von den anderen Lösungen. Die hohe Zahl der Befragten, die angeben, auf diesem Gebiet eine Versicherung abgeschlossen zu haben, ist innerhalb der Stichprobe der KES/KPMG-Sicherheitsstudie 2002 deutlich höher als im gesamten Markt.
Eine erstaunlich hohe Zahl von Unternehmen (92 Prozent) ist der Auffassung, dass Recovery-Maßnahmen nur über ein strategisches Konzept entschieden werden sollen. Dieses wird dann mit eigenen Kräften unter Nutzung externer Beratung erstellt.
Bereitstellung für längere Ausfälle
Eine Notfall-Dokumentation existiert in über 50 Prozent aller Unternehmen. Hierbei dominiert das manuelle Handbuch, wobei weiterhin eine beachtliche Zahl der Befragten ein solches in Arbeit oder Planung haben (35 %). Auf diesem Sektor ist seit dem 11. September 2001 generell eine verstärkte Aufmerksamkeit zu vermerken. Die Notfall-Dokumentation ist grundsätzlich allgemein ausgelegt (96 Prozent) und enthält in den meisten Fällen vor allem Aktionspläne für den K-Fall sowie für Störungen im Tagesbetrieb. Typisch für die befragte Gruppe ist, dass die Dokumentation nach Auffassung von 87 Prozent der Teilnehmer die Anforderungen nach dem KonTraG erfüllt. Weniger als 20 Prozent gaben an, eine Notfall-Dokumentation weder zu besitzen noch zu planen.
Die Aktualisierung der Dokumentation erfolgt bei den meisten nur sporadisch (47 %). Fast achtzig Prozent der Antwortenden sind der Meinung, dass die Aktualität der gesamten Dokumentation durch den Einsatz im Tagesbetrieb erreichbar ist. Die gesamte Bedeutung des Notfallproblems kommt auch darin zum Ausdruck, dass 62 Prozent für Erstellung und Koordination der Notfallplanung eine verantwortliche Person ernannt haben, und dass die Ergebnisse von Notfallübungen vom überwiegenden Teil in die Dokumentation einfließen.
Inhalte der Notfall-Dokumentation
Das Wirken des Bundesamts für Sicherheit in der Informationstechnik (BSI) auf dem Sektor der IT-Sicherheit ist den meisten Befragten bekannt. Das IT-Sicherheitshandbuch sowie das Grundschutzhandbuch haben einen sehr hohen Bekanntheitsgrad erlangt, während verschiedene Dienstleistungen des BSI wie Akkreditierung und Evaluierung nur noch rund einem Drittel der Unternehmen bekannt sind.
Sind Ihnen die folgenden Aufgaben und Dienstleistungen des BSI bekannt? (Mehrfachnennungen möglich) | ||
---|---|---|
Basis der Prozentuierung: | 250 | |
Nennungen | Prozent | |
IT-Sicherheitshandbuch | 230 | 92 % |
IT-Grundschutzhandbuch | 231 | 92 % |
Schriften/Faltblätter zur IT-Sicherheit | 218 | 87 % |
Informationsdienst (BSI-Forum in der KES) | 166 | 66 % |
BSI-Kongress | 162 | 65 % |
Zertifizierung | 155 | 62 % |
Viren-Hotline | 138 | 55 % |
Beratung | 124 | 50 % |
kryptographische Grundlagenarbeit | 117 | 47 % |
Evaluierung | 95 | 38 % |
Akkreditierung | 80 | 32 % |
Infobörse zur Mitarbeiterschulung | 66 | 26 % |
Dass über 60 Prozent der Befragten Zertifizierungsdienste des BSI kennen, dürfte in erster Linie auf die Tätigkeiten im Bereich der Produkt-Zertifizierung zurückzuführen sein. Die IT-Sicherheit wird seit Jahren stark durch internationale Kriterien bestimmt. Der Bekanntheitsgrad der ITSEC, der Common Criteria (CC) und der BS 7799 / ISO-IEC 17799 ist durchaus nicht schlecht zu nennen, obwohl sich eine hohe Zahl der Befragten damit bisher noch nicht ernsthaft befasst hat.
Bekanntheit internationaler Kriterien zur
Informationssicherheit
34 Prozent der Befragten setzen zertifizierte Sicherheitsprodukte ein; 23 Prozent geben an, in Zukunft zertifizierte Produkte bevorzugt einsetzen zu wollen. Die Erwartungen an den Nutzen und die Zuverlässigkeit haben sich bei den jetzigen Anwendern zertifizierter Produkte in hohem Maße erfüllt (69 %). Darüber hinaus rechtfertigt ein zertifiziertes Produkt nach ihrer Meinung auch einen höheren Preis.
Zertifizierte Sicherheitsprodukte
Prof. Dr. Reinhard Voßbein ist
Geschäftsführer der UIMCert GmbH. Dr. Jörn
Voßbein ist Geschäftsführer der UIMC
Dr. Voßbein GmbH & Co. KG ( www.uimc.de).
© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 2002/4, Seite 16