Thema der Woche

20. November 2007

Fehlende Reality-Checks bei Sicherheitssystemen

Ob eingesetzte Sicherheitslösungen auch wirklich für mehr Sicherheit sorgen, wird nicht immer ausreichend geprüft. Für die Studie "IT-Sicherheit organisieren, kontrollieren" hat [externer Link] Ampeg unlängst 77 leitende IT-Sicherheitsverantwortliche in großen deutschen Unternehmen befragt. Nur knapp die Hälfte gab an, regelmäßig die tatsächliche Leistung der Schutzsysteme mit den eigenen Zielvorgaben abzugleichen. In vielen Unternehmen dauere es offenbar mit durchschnittlich über 19 Stunden schlicht zu lange, um den aktuellen Security-Level festzustellen, um also Informationen aus den verteilten Sicherheitslösungen zu aggregieren, zu normalisieren und aussagekräftig aufzubereiten. Nicht einmal jeder zwanzigste Befragte hat einen permanenten Überblick über seine Sicherheits-Systeme.

Überraschend und alarmierend sind diese Zahlen nicht zuletzt, da das Management in fast 90 % der befragten Unternehmen Security-Reports einfordert. Doch was wird eigentlich "reportet"? In etwa 70 %, so die Ampeg-Studie, werden Auswertungen durchgeführt, die aufzeigen, ob sich der IT-Schutz kontinuierlich verbessert. Doch nur etwas weniger als die Hälfte der Unternehmen prüft regelmäßig, ob die erbrachten Leistungen der Sicherheitssysteme im Rahmen konkreter Zielvorgaben liegen. Dabei ist sich mit ebenfalls fast 90 % eine überwiegende Mehrheit einig, dass Transparenz in Bezug auf den Status der Sicherheitssysteme ein Schlüssel zu deren kontinuierlicher Verbesserung ist.

Die notwendige Zeit zur Aufbereitung von Protokolldaten scheint ein wesentlicher Punkt zu sein: Unternehmen, die verhältnismäßig lange dafür brauchen, sich einen Überblick über den Status aller eingesetzten Sicherheitssysteme zu verschaffen, verzichten eher auf einen Abgleich von Soll-/Ist-Werten. Diese Teil der Befragten benötigte im Schnitt über 24 Stunden für einen vollständigen Report – die "Soll-/Ist-Abgleicher" kamen hingegen mit 17 Stunden aus. Ob mehr Unternehmen die für eine kontinuierliche Verbesserung der Systeme wichtigen Überprüfungen der Sicherheits-Levels durchführen würden, wenn sie es schneller könnten, bleibt zwar eine Vermutung, erscheint aber naheliegend.

Auch für den Krisenfall, wo die schnelle Verfügbarkeit von Informationen entscheidend ist, zeigt sich ein heikles Bild: Geht es nicht um die Vorbereitung eines geplanten Status-Meetings, sondern müssen auf Anfrage hin spontan Informationen zu bestimmten Sicherheitskomponenten recherchiert werden, so gelingt dies zwar immerhin zwei Fünteln der Unternehmen in weniger als 30 Minuten. Mehr als ein Fünftel benötigt aber auch dann noch 2–5 Stunden, fast ein Zehntel 6–10 Stunden. Was das bedeutet, wenn unmittelbare Abwehrmaßnahmen gefragt sind, ist wohl offenkundig.

zum nächsten Thema der Woche

zum vorigen Thema der Woche

Valid HTML 4.01! | Valid CSS!

Haben Sie einen Fehler gefunden? Bitte benachrichtigen Sie uns per  E-Mail. Vielen Dank.