Thema der Woche

22. August 2006

Riskante Mobilität

Mobile Systeme haben die schlechteste Sicherheit bei gleichzeitig größter Gefährdung und empfindlichen Folgen für die Vertraulichkeit und Verfügbarkeit von Unternehmensdaten – so lautet das alarmierende Fazit der <kes>/Microsoft-Sicherheitsstudie 2006 für Notebooks, PDAs und dergleichen.

49 % der Befragten schätzen die Sicherheit ihrer mobilen Systeme als nicht ausreichend oder gerade eben ausreichend ein. Damit erhielten diejenigen Computer die schlechtesten Noten, die häufig ohne den Schutz der etablierten Sicherungssysteme im unternehmenseigenen Netzwerk auskommen müssen und "in freier Wildbahn" größten Gefährdungen ausgesetzt sind. Allein die Exposition gegenüber physischer Wegnahme hat üble Folgen: 27 % gaben an, dass Unbefugte durch Verlust oder Diebstahl mobiler Systeme Zugriff auf schutzwürdige Daten erhalten haben, weitere 9 % vermuten dies. Damit sorgen die handlichen Helfer für die weitaus meisten Vertraulichkeitsbrüche in den Unternehmen und Behörden.

Die unbefriedigende Sicherheitslage wird auch durch die Angaben zu fehlenden Schutzmechanismen untermauert: Während Viren-Abwehr auf Servern und Desktops heute als Selbstverständlichkeit gilt, ist über ein Fünftel der mobilen Systeme der Studie zufolge derzeit ungeschützt gegen Malware, 13 % der – durchaus sicherheitsbewussten – Befragten gaben sogar an, dass ein Virenschutz dort auch künftig nicht vorgesehen sei. (Personal) Firewalls sind ebenfalls noch zu selten zu finden: Obwohl mobile Systeme sich in unbekannten Netzen nur auf eigene Sicherheitsmechanismen verlassen können, wollen 37 % der Befragten darauf keine Firewalls einrichten, weitere 21 % planen dies zwar, haben die Maßnahme aber noch nicht realisiert. Noch schlechter ist es um das Backup bestellt: Fast 60% der Befragten betreiben derzeit keine Datensicherung für mobile Systeme.

Umso erschreckender wirken diese Zahlen, wenn man bedenkt, dass hiervon nicht mehr länger nur "das eine oder andere" Notebook betroffen ist, sondern über 120.000 mobile Systeme allein im Teilnehmerfeld existieren. Im "durchschnittlichen" Unternehmen der 163 Befragten sind über 25 % aller Endgeräte mobil. Die Teilnehmer der <kes>/Microsoft-Sicherheitsstudie legen dabei klassischerweise sogar besonderen Wert auf die Sicherheit, was auch ein mittleres Budget von fast einer halben Million Euro unterstreicht; auch die befragten kleinen und mittleren Unternehmen geben dieses Jahr im Durchschnitt rund 72.295 € nur für Informations-Sicherheit aus. Es steht somit zu befürchten, dass die Lage in weniger sensiblen Unternehmen noch deutlich schlechter aussieht.

Risiken und Schutzmöglichkeiten im Mobile Computing werden übrigens auch am Dienstag, dem 24. Oktober 2006, und am Donnerstag, dem 26. Oktober 2006, in der "High-Noon"-Podiumsdiskussion auf der [externer Link] IT-SecurityArea der Münchner B2B-Messe SYSTEMS thematisiert (jeweils um 12:00 Uhr mittags).

Weitere wichtige Aussagen und Fakten in Kurzform:

Viren-Abwehr greift besser: Weniger mittlere bis größere Schäden, weniger von Vorfällen Betroffene und weniger drastische Befürchtungen für die Zukunft könnten auf eine Trendwende bei der Malware hindeuten. Viren, Würmer und Trojanische Pferde bleiben aber dennoch eine gefährliche Bedrohung und dominierend bei den größten Schadenereignissen.
In der Risikobewertung belegt "Irrtum und Nachlässigkeit eigener Mitarbeiter" einen wiedererstarkten ersten Platz vor der Malware – technische Mängel und Defekte steigen in der Bedeutung.
Fehlende Geldmittel bleiben größtes Hindernis für mehr Informations-Sicherheit, gefolgt von mangelndem Bewusstsein bei Management und Mitarbeitern – größten Zuwachs hat die Klage, dass Anwendungen nicht für Sicherheitsmaßnahmen vorbereitet sind.
Physische Sicherheit auch für IT bedeutend: Jeder sechste Befragte berichtet von unbefugten Zugriffen auf schutzwürdige Daten durch klassischen Einbruch.
Die <kes>/Microsoft-Sicherheitsstudie 2006 stützt sich auf die ausführlichen Angaben von 163 Befragten, von denen die größten Gruppen Sicherheitsverantwortliche (28 %), Rechenzentrum- oder IT-Leiter (20 %) oder Geschäftsführer (12 %) sind. Das zugehörige "durchschnittliche" Unternehmen (bzw. Behörde) beschäftigt 4019 Mitarbeiter und hat eine 337-köpfige IT-Abteilung mit 10 Sicherheits-Spezialisten (KMU-Anteil: 140 Mitarbeiter, 14 in der IT, 2 Security-Leute).