Angriff auf IT-Sicherheit: Störfälle nehmen zu

Die Angriffe auf die Unternehmens-IT durch die eigenen Mitarbeiter haben im vergangenen Jahr weiter zugenommen. Die Zahl von Sicherheitsverstößen durch unautorisierte Benutzer stieg nach Angaben von IT-Managern um drei Prozent. In der Folge nahmen auch Störungen, wie beispielsweise Datenverlust und Komplettausfälle, zu. Insgesamt verursachten Angriffe auf die IT-Sicherheit in jedem zwölften Zwischenfall einen Totalausfall des Netzwerks und aller Dienste. Das bedeutet einen Zuwachs von drei Prozent. Diese Entwicklung blieb auch auf der Schadenseite nicht ohne Folgen. Nur eine Minderheit von etwa 20 Prozent der IT-Verantwortlichen gab an, keinen finanziellen Schaden durch Angriffe auf die Datensicherheit erlitten zu haben. Im Vorjahr gehörten noch mehr als 30 Prozent zu den Glücklichen. Über 35 Prozent mussten Verluste von bis zu 10.000 Euro hinnehmen. Das ist ein Anstieg um gut drei Prozent. Zu diesen Ergebnissen kommt die Studie „IT-Security 2005“ der InformationWeek, die zusammen mit Steria Mummert Consulting ausgewertet wurde.

Mit einer umfassenden Aufklärungsoffensive bei Mitarbeitern wollen die Unternehmen diese Missstände bekämpfen. In den kommenden zwölf Monaten plant ein Drittel der IT-Entscheider, ihr Personal im sicheren Umgang mit Informationstechnologien zu schulen. Damit hat sich der Einsatz dieser Maßnahme mehr als verdreifacht. Ziel ist eine verstärkte Sensibilisierung der Mitarbeiter für die Datensicherheit. Neben den gefährlichsten Angriffsmethoden – Computerviren, Würmern und trojanischen Pferden – steht das „Spamming“ auf dem Unterrichtsplan. Der unverlangte massenweise Versand von Nachrichten rangiert nach Angaben von 62 Prozent der befragten IT-Manager auf Platz zwei der Gefahrenliste. Die Hackeraktivitäten sind im Trendvergleich zu 2004 rückläufig. Statt 66 Prozent haben nur noch rund 56 Prozent der IT-Manager die Hacker als mutmaßliche Verursacher von Störfällen oder Spionageversuchen in Verdacht. Da die Zahl der Störfälle gleichzeitig zunahm, wird es für die IT-Experten zunehmend schwerer, die Verursacher von Angriffen auf die Datensicherheit auszumachen. Die Zahl der Ratlosen ist dementsprechend von gut 19 Prozent auf über 29 Prozent gestiegen.

Wichtigste Auswirkungen der Angriffe (Prozentwerte):

Unkritische Anwendungen nicht verfügbar (2005; 2004): 18,9; 16,3
Kritische Anwendungen nicht verfügbar (2005; 2004): 17,4; 11,9
Komplettausfall des Netzes (2005; 2004): 8,4; 5,4
Kundendaten nicht verfügbar (2005; 2004): 8,4; 5,3
Datenintegrität verletzt (2005; 2004): 7,9; 8,2
Verlust anderer interner Daten (2005; 2004): 5,8; 3,5
Finanzielle Verluste (2005; 2004): 5,3; 5,6
Marke/Ruf geschädigt(2005; 2004): 4,2; 1,4

Neben den Schwächen bei der Mitarbeiterschulung, hat ein Großteil der Manager Mängel bei der Überwachung von Datenrichtlinien erkannt. Rund 30 Prozent wollen hier die Kontrolle verbessern – das entspricht einem Anstieg um fast das Zehnfache. Vor allem außerhalb des eigenen Unternehmens wird das Einmaleins der Datensicherheit oftmals außer Acht gelassen. Auf öffentlich zugänglichen Computern, wie beispielsweise an internationalen Flughäfen, wimmelt es von brisanten Dokumenten, E-Mails und sensiblen Firmendaten. Firmeninterne Dokumente finden sich in den Postausgängen der vorinstallierten Programme wieder oder werden für jeden einsehbar in den Papierkorb der Software kopiert und dort vergessen. In diesem Umfeld ist die Aufmerksamkeit der IT-Experten für taktische Sicherheitsmaßnahmen deutlich gestiegen. Auf die Einführung von Authentifizierungstechnik wollen sich gut 20 Prozent der Befragten konzentrieren. Hier hat sich die Zahl der Befürworter mehr als verdoppelt. Verschlüsselungstechnologien stehen bei mehr als 17 Prozent auf der Agenda, das ist ein Zuwachs um fast das Achtfache. Auch das Interesse an Security Audits hat sich angesichts der steigenden Sicherheitsverstöße mehr als verzehnfacht. Die Sicherung drahtloser Netze gehört nach Ansicht von gut 22 Prozent der Befragten ebenfalls zu den wichtigsten taktischen Maßnahmen der Unternehmen. Im Vorjahr wollten sich nur knapp vier Prozent in diesem Bereich engagieren.

Wichtige geplante taktische Sicherheitsmaßnahmen (Prozentwerte):

Gewährleistung der Sichherheit in den Netzen (2005; 2004):22,4; 3,9
Installation von Netzwerk-Firewalls (2005; 2004):21,2; 26,6
Authentifizierung (2005; 2004): 20,8; 8,8
Durchführung von Security Audits (2005; 2004): 18,8; 1,7
Verschlüsselungstechnologien (2005; 2004): 17,4; 2,2
Nichts davon (2005; 2004): 3,0; 1,4
Weiß nicht/Keine Angabe (2005; 2004): 11,3; 10,0

Bei den Investitionen orientieren sich die IT-Entscheider zunehmend an gesetzlichen Erfordernissen. Mehr als die Hälfte rechtfertigt Sicherheitsinvestitionen mit Gefahren aus potenziellen Haftungsfällen. Im Vorjahr taten dies nur gut 45 Prozent. Die Rechtsvorschriften von Basel II werden von über einem Viertel – zuvor rund 15 Prozent – als Investitionsbegründung herangezogen. Und die Forderungen von Behörden sind nach Ansicht von mehr als 40 Prozent ein guter Grund, Sicherheitsausgaben zu tätigen. 2004 waren gut 33 Prozent dieser Ansicht. Das Investitionsbudget bleibt im Vergleich zum Vorjahr stabil. Rund 78 Prozent der Befragten wollen gleich viel oder mehr für die Datensicherheit im Unternehmen ausgeben.