Thema der Woche
22. August 2003
IT-Sicherheit nur Lippenbekenntnis?
Die Ergebnisse zweier aktueller Studien legen nahe, dass der Wunsch nach mehr IT-Sicherheit oft nur ein Lippenbekenntnis des Managements ist. So kam ![[externer Link]](../../images/link.gif)
Ernst & Young in einer Umfrage zur IT-Sicherheit unter 1400 IT-Verantwortlichen und Geschäftsführern aus 66 Ländern zu ernüchternden Ergebnissen: Obwohl 90 % der Befragten IT-Sicherheit für wichtig halten, räumte ein Drittel ein, im Falle eines Angriffes auf ihre IT-Systeme nur unzureichend reagieren zu können. 34 % gaben an, nur bedingt Überblick zu haben, ob und wann ihre Systeme überhaupt attackiert werden. "Geschäftsziele und Sicherheitsstrategie der Unternehmen stimmen oft nicht überein", kommentiert Marcus Rubenschuh, IT-Sicherheitsexperte bei Ernst & Young.
Zumindest in Deutschland haben die praktischen Aspekte der Informations-Sicherheit scheinbar an Bedeutung gewonnen: Auf die Frage der wichtigsten Gründe für Sicherheitsausgaben haben mit 51 % hierzulande die meisten Manager "Kostenreduktion und Leistungsverbesserung" als Top-Argument angegeben. Ernst & Young sehen darin eine Folge der wirtschaftlichen Rezession. An zweiter Stelle steht die Einhaltung von Verträgen mit Dritten (47 %) – Risikominimierung liegt gemeinsam mit der Erfüllung gesetzlicher und aufsichtsrechtlicher Anforderungen auf Platz Drei (44 %). Erst dann folgt "Image und Vertrauen", das weltweit hinter Risikoreduktion (78 %) und gesetzlichen Bestimmungen (48 %) mit 47 % auf Rang Drei liegt. International hielten nur 23 % Kostenreduktion für entscheidungsrelevant. An der Sicherheit zu sparen, könne fatale Auswirkungen auf die gesamte Geschäftspraxis haben, mahnt Rubenschuh, der hier ein Abweichen von Sicherheitsanspruch und Realität in deutschen Unternehmen sieht.
Als wichtigsten Grund für bestehende Sicherheitslücken nannten weltweit nur 16 % der Unternehmen unausgereifte Technologien – 55 % verweisen jedoch auf Budgetbeschränkungen als größtes Hindernis; in Deutschland waren das sogar 60 % (in der <kes>/KPMG-Sicherheitsstudie 2002 "nur" 46 %). Über fehlendes Bewusstsein des Managements klagen laut Ernst & Young in Deutschland 34 %, weltweit 24 % – damit verdrängt dieser Punkt hierzulande sogar den global deutlich stärker bemängelten Fachkräftemangel vom dritten Platz.
Eine vergleichsweise hohe Aufmerksamkeit richten die Manager auf die Abwehr besonders schwerwiegender Krisensituationen. "Die Unternehmen investieren viel in Sicherheitsmaßnahmen, die den völligen Geschäftsstillstand verhindern sollen, unterschätzen aber die vermeintlich kleinen Sicherheitslücken", kritisiert Rubenschuh. Die häufigere und insgesamt größte Gefahr gehe aber von den weniger beachteten Risiken aus: "Es sind nicht nur Katastrophen oder Cyber-Terroristen, die das Geschäft nachhaltig beeinträchtigen können. Eine viel größere Eintrittswahrscheinlichkeit haben alltäglichere Risiken, wie der Diebstahl von intellektuellem Kapital oder Computer-Viren und -Würmer."
Solche Malware bezeichnen tatsächlich auch die Hälfte (51 %) der Befragten als hohe oder sehr hohe Gefahr. 32 % sehen leichtsinniges oder absichtliches Fehlverhalten von Mitarbeitern als hohes Risiko. Dennoch geben 83 % der Unternehmen das meiste Geld lediglich für die Anschaffung neuer Hard- und Software aus: Nur 29 % Befragten gaben an, einen Großteil des Budgets in Sensibilisierungsmaßnahmen für Mitarbeiter zu investieren. "Technik allein ist kein Allheilmittel" warnt Rubenschuh. Zwar können sich Unternehmen mit entsprechender Software gegen Viren schützen. Bei bestimmten Schwachstellen, wie aktuell vom "Lovsan"-Wurm ausgenutzt, seien diese Programme jedoch häufig machtlos. Hier sind die Aufmerksamkeit und das Know-how der IT-Mitarbeiter gefordert, die auf entsprechende Sicherheitswarnungen zeitnah reagieren und die IT-Systeme sichern müssen. "Wenn dann noch die IT-Nutzer für IT-Sicherheit sensibilisiert sind, können viele Risiken bereits frühzeitig abgewendet werden", so Rubenschuh.
Für die Schweiz kommt eine KPMG-Studie zu ähnlich alarmierenden Ergebnissen. Dazu wurden insgesamt 100 IT-Verantwortliche in Schweizer Unternehmen befragt (Teilnehmerauswahl anhand der Top-2002-Liste der HandelsZeitung). Gespart wird an den schweizer IT-Budgets demzufolge sehr unterschiedlich: Bei einigen der Unternehmen, die Einsparungen angaben, ist laut KPMG lediglich die in den letzten Jahren übliche Budgeterhöhung ausgeblieben – knapp die Hälfte der Befragten haben ihre Budgets sogar erhöht. Der Anteil der IT-Sicherheit am Gesamtbudget liege bei rund 6 %; Einsparungen im Vergleich zum Vorjahr wurden in diesem Bereich nicht genannt.
Zudem zeigen sich auch in der KPMG-Studie Differenzen zwischen dem Sicherheitsanspruch und der Umsetzung in der Praxis. Auf die Frage nach ihren drei wichtigsten erreichten Zielen im Jahr 2002 nannten nur 5 % der IT-Leiter Sicherheitssysteme. KPMG kommentiert: "IT-Sicherheit wird zwar immer wieder thematisiert, aber offenbar werden nur wenige die Sicherheit betreffende Ziele tatsächlich erreicht. Es ist hingegen auch möglich, dass die Sicherheit im Vergleich zu den anderen Kategorien als nicht sonderlich wichtig erachtet wird."
Und das obwohl die Befragten mit dem erreichten Sicherheits-Stand ganz und gar nicht zufrieden waren: Bei der Frage nach der Qualität in IT-Prozessen bildeten IT-Sicherheit und -Risikomanagement das Schlusslicht, niemand empfand das als "sehr gut" und nur 46% als "gut". Die Studie kommt zu dem Schluss, dass die IT-Sicherheit "offensichtlich Unbehagen bereitet", die IT-Leiter aber "mit diesem Unbehagen ... recht gut leben können, da sonst in diesem Bereich deutlich mehr Aktivitäten zu erwarten wären."
Dafür spricht auch die Einschätzung der Top-Risiken durch die Befragten: Nur 14 % nannten hier die IT-Sicherheit, 13 % das IT-Risikomanagement. Auf den ersten beiden Plätzen rangierten hingegen die Managementrisiken IT-Planung/-Controlling (22 %) und Projekt-/Portfolio-Management (15 %), und das obwohl diese beiden Felder eine erheblich höhere Zufriedenheitsbeurteilung erlangen konnten: 54 % hatten ihre erreichte IT-Planung/Controlling-Qualität als "sehr gut" oder "gut" eingestuft, sogar 57 % taten dies für ihr Projekt-/Portfolio-Management.
Die stärkste Unzufriedenheit mit der erreichten Informationssicherheit zeigten sich in Sachen Sicherheitsbewusstsein der End-Anwender: nur 17 % der Teilnehmer gaben hierzu "sehr gut" oder "gut" an, 28 % nannten die End-User Awareness sogar "ungenügend". Trotz der beschriebenen Zurücksetzung von Sicherheit und Risikomanagement gaben nur 41 % der Befragten den Stand ihrer Sicherheits-Organisation und -Policies mit "sehr gut" oder "gut" an, 44 % klassifizierten ihr Risikomanagement derart. In diesen Feldern platzierten sich dann auch erwartungsgemäß die meisten geplanten Verbesserungen, gemeinsam mit einem starken Wunsch nach mehr Business Continuity (69 % wollen hier zulegen). Aber auch andere Verbesserungen, wie User-/Meta-Directories, sicherere Betriebsprozesse oder mehr Netzwerksicherheit, stehen im Prinzip auf der Agenda.
KPMG zieht jedoch insgesamt ein skeptisches Resümee: "Aufgrund der großen Zahl vorgesehener Verbesserungsmaßnahmen könnte man vermuten, dass der Handlungsbedarf im Bereich der IT-Security erkannt wurde. Wird allerdings die Hierarchie der angestrebten IT-Ziele miteinbezogen, so zeigt sich, dass der IT-Sicherheit nur einer der hinteren Ränge in der Prioritätenliste zukommt. Bei der Berücksichtigung der knapper werdenden personellen und finanziellen IT-Ressourcen sowie der zurückhaltenden Inanspruchnahme von externen Dienstleistungen wird es fraglich, ob die Unternehmen in der IT-Sicherheit diejenigen Verbesserungen effektiv erreichen werden, welche sie sich vorgenommen haben. Für eine skeptische Haltung hierzu spricht zudem die Erfahrung, dass die Leistung der IT primär daran gemessen wird, ob sie die von ihr erwartete Funktionalität bereitstellen kann, und nicht, ob sie das definierte Sicherheitsniveau aufweist."
zum nächsten Thema der Woche
zum vorigen Thema der Woche
