Thema der Woche

4. Juli 2002

Sicherheits-Hypes kaum umgesetzt

Die breit beworbenen Sicherheitstechnologien der letzten Jahre werden in der Praxis bislang wenig eingesetzt. Nach den Ergebnissen der aktuellen KES/KPMG-Sicherheitsstudie haben selbst große Unternehmen, die Firewalls und Anti-Virus-Software praktisch flächendeckend nutzen, nur relativ selten Intrusion Detection Systems (IDS) und Public Key Infrastructures (PKI) installiert. Auch hochwertige digitale Signaturen und vor allem biometrische Systeme sind Mangelware.

Nur etwa ein Viertel der befragten Unternehmen nutzt beispielsweise digitale Signaturen in der B2B-Kommunikation; beim E-Government sind es bis dato sogar nur sechs Prozent. Und wenn Signaturen im Einsatz sind, dann vorrangig als reine Softwarelösungen; Chipkarten liegen auf einem abgeschlagenen zweiten Platz. Und selbst dabei handelt es sich überwiegend um einfache Systeme: Teure Kartenterminals mit eigener Tastatur oder Anzeigeeinheiten (so genannte Klasse-2- bzw. -3-Leser) sind wenig gefragt. Gleiches gilt für die höherwertigen gesetzeskonformen elektronischen Signaturen, die bei den meisten Befragten "nicht vorgesehen" sind. Dabei haben die vergleichsweise einfach zu implementierenden "fortgeschrittenen" Signaturen noch die besten Aussichten. Die höchste (und teuerste) Norm der "qualifizierten elektronischen Signaturen mit Anbieterakkreditierung" hat kaum Aussicht auf weiteren Zulauf (vgl. "Akkreditierung ohne Zukunft?").

Einfache Installation und Anwendung bleibt auch bei der Authentisierung Trumpf: Hier dominieren weiterhin die simplen Passwörter. Biometrische Verfahren sind nur bei maximal fünf Prozent vorhanden und sollen bei jeweils mehr als der Hälfte der Antwortenden auch nicht angeschafft werden (s. a. "Biometrie: Besser – aber gut genug?"). Public Key Infrastructures haben etwa 20 Prozent der befragten Unternehmen implementiert, über 50 Prozent planen das. Ziel der Systeme ist jedoch vorrangig die Verschlüsselung, die zumindest selektiv schon heute stark genutzt wird: beispielsweise auf 53 Prozent der Client-Systeme/PCs für sensitive Dateien (für weitere 33 % geplant), 41 Prozent der erfassten mobilen Endgeräte arbeiten mit einer komplett verschlüsselten Festplatte. Wo in der E-Mail-Kommunikation ein Chiffrierschlüssel des Partners vorliegt, nutzen immerhin 44 Prozent der Befragten diesen zumindest für sensitive Nachrichten, 13 Prozent für jegliche Kommunikation mit Externen. Dabei kommt übrigens auch im Unternehmensbereich der (Open)PGP-Standard doppelt so häufig zum Einsatz wie S/MIME.

Intrusion Detection befindet sich in der Anlaufphase: Rund 40 Prozent der Teilnehmer an der Studie haben solche Systeme bereits realisiert, etwa genauso viele planen dies. Bei allen Zahlen sollte man beachten, dass die Stichprobe der KES/KPMG-Studie eher positiv verzerrt sein dürfte, da die Teilnehmer aus einem besonders sensiblen Umfeld kommen: Rund 20 Prozent der befragten Unternehmen gehören der Kreditwirtschaft an, jeweils 10 Prozent sind Versicherungen, Behörden oder Berater. Im Durchschnitt beschäftigt jede dieser Institutionen mehr als 10 Mitarbeiter ausschließlich für die Informationssicherheit, ihre IT-Infrastruktur umfasst durchschnittlich mehr als 7 Mainframes, 200 Server, 4500 Clients/PCs und 600 mobile Endgeräte (Notebooks, PDAs usw.).

Als größtes Hindernis für mehr Sicherheit in der Informationsverarbeitung haben die Befragten übrigens mangelndes Bewusstsein gennant: bei den Mitarbeitern (in 65 % der Unternehmen), aber auch beim mittleren (61 %) und Top-Management (50 %). Zu wenig Geld sahen "nur" 46 Prozent der Teilnehmer als Problem. Eine Möglichkeit zur kostenlosen Sensibilisierung und Weiterbildung bieten vom 14. bis 18. Oktober die Vortragsbühnen der IT-SecurityArea auf der Münchner Computermesse SYSTEMS, wo Experten aus der Sicherheitsbranche ihr Fachwissen mit den Besuchern teilen (Programm siehe externer Link  www.it-security-area.de).