Trotz Milliardeninvestitionen: Große IT-Sicherheitslücken in deutschen Unternehmen

Die Sicherheit von Computersystemen hat bei vier Fünfteln der deutschen Firmen hohe oder höchste Priorität – doch bisher folgen zu wenig Taten. Ein Drittel hat in den vergangenen zwölf Monaten keine Schritte unternommen, die Informationssicherheit zu verbessern. Bei 60 Prozent der Unternehmen stagnieren die Budgets für die IT-Sicherheit oder sind sogar rückläufig. Im Vergleich mit den USA und Großbritannien liegt Deutschland damit klar zurück. Kleinere Unternehmen schneiden besonders schlecht ab. Die Finanzdienstleister erhalten im Branchenvergleich die besten Noten. Zu diesen Ergebnissen kommt eine Studie der Informationweek und der Mummert + Partner Unternehmensberatung.

1,2 Millionen Tage sind die Computersysteme in deutschen Unternehmen im letzten Jahr aufgrund von Attacken auf die IT-Infrastruktur ausgefallen. Der Großteil der deutschen Unternehmen ist angreifbar: 70 Prozent haben eine Internetseite. Rund die Hälfte nutzt ein so genanntes virtuelles privates Netzwerk (VPN), das interne Daten mit Hilfe des Internets verbreitet. Nur vier Prozent der Unternehmen geben an, überhaupt keine der gängigen Internet- und Netzwerkanwendungen zu haben. Die Auswirkungen der Angriffe: der Ausfall von EDV-Programmen oder des E-Mail-Systems (35 Prozent), Netzwerkausfälle (24 Prozent) oder Diebstahl vertraulicher Informationen (13 Prozent).

Deutsche Unternehmen mit mehr als 100 Mitarbeitern geben in diesem Jahr insgesamt etwa 7,3 Milliarden Euro für Informationssicherheit aus – das sind rund 410 Euro pro Mitarbeiter. Im Durchschnitt sind zehn Prozent der IT-Budgets deutscher Unternehmen für Sicherheit reserviert. Damit liegt Deutschland international zurück: In den USA steckt knapp die Hälfte der Unternehmen (49 Prozent) mehr Geld in die Security als im Vorjahr, in Großbritannien sind es 42 Prozent.

Die gängigste Schutzmaßnahme sind Basis-Passwörter (79 Prozent der Unternehmen). Drei von fünf Firmen nutzen auch Mehrfach-Passwörter. Alle anderen Sicherheitssysteme werden nur von einer Minderheit eingesetzt. Beim Einsatz von Verschlüsselungssoftware – aus Expertensicht besonders geeignet gegen Datenspione – hinkt Deutschland im internationalen Vergleich hinterher. Die SSL-Verschlüsselung (Secure Sockets Layer), die etwa beim Online-Banking eingesetzt wird, nutzt immerhin ein Drittel der Unternehmen.

Zwölf Prozent der Unternehmen verfügen nicht über einen Virenschutz – obwohl Viren mit Abstand als das Sicherheitsproblem Nummer eins angesehen werden. Für 42 Prozent der Angriffe sind nach Ansicht der Unternehmen Computerviren verantwortlich. Fremdzugriffe und die Bombardierung mit E-Mails werden noch von je einem Zehntel der Firmen als Problem genannt. Als Urheber der Angriffe vermuten die Firmen meist Hacker (42 Prozent) und eigene Mitarbeiter (32 Prozent). Bei der vermuteten Einbruchstelle der Angreifer gibt es einen klaren Spitzenreiter: Am häufigsten (36 Prozent) werden Schwachstellen des Betriebssystems als Angriffspunkt genannt.

Neben der Abwehr von Viren wollen die Unternehmen in den kommenden zwölf Monaten ihre Betriebssysteme und Netzwerke besser schützen. Ein Viertel der Unternehmen plant, auch die eigenen Mitarbeiter besser zu überwachen.

Die Studie „IT-Security“ untersucht seit 1998 jährlich die Informationssicherheit der Unternehmen. Von April bis Juni 2002 wurden IT-Leiter, CIOs und Sicherheitsverantwortliche von 8.188 Firmen aus 50 Ländern befragt, davon 828 aus Deutschland, 663 aus Großbritannien und 3.516 aus den USA. Die Umfrage wurde von der Informationweek durchgeführt. Die Analyse der Daten für Deutschland erfolgte mit Unterstützung der Mummert + Partner Unternehmensberatung. Die Studie ist für 990 Euro zzgl. MwSt. unter www.mummert.de erhältlich.