|  |
E-Security Schweiz: Status quo und Herausforderungen
 Immer wieder informieren Medien über drohende Schwachstellen, aufkommende Viren und Sicherheitsvorfälle in Schweizer Netzwerken. Wie sieht es aber wirklich in der Schweizer IT-Landschaft aus, wenn es darum geht, die aktuelle Situation und mögliche Bedrohungen faktisch zu beurteilen?
Ein Drittel der Schweizer Unternehmen plant, das Budget für die Sicherheit ihrer Daten- und Netzwerke zu erhöhen. So weit die gute Nachricht. Die schlechte Nachricht: Grund sich zurückzulehnen gibt es keinen. Verglichen mit anderen Nationen schneidet die Schweiz in puncto Informationssicherheit gut ab. Trotzdem meldeten 2004 37,5 Prozent der Unternehmen wesentlich mehr Sicherheitsverstösse als im Vorjahr. Das Bewusstsein, Informationen schützen zu müssen, ist hoch, jedoch kommt bei der Zuordnung der Ressourcen dies nicht unbedingt zum Ausdruck. So verwundert es nicht, wenn 37 Prozent der Verantwortlichen ein zu knappes Budget als Grund für das Scheitern ihrer Sicherheitsprojekte angeben.
Gründe und Argumente
Analysiert man die Gründe, warum CEO’s und CIO’s in ihre IT-Security investieren, so wird einem bewusst, dass in der Kommunikation mit Budgetverantwortlichen alternative Argumentationen gefragt sind. Bisher waren potenzielle Schäden (52 %), Imagefaktoren (41 %) und mögliche Haftungsansprüche (26 %) die Hauptgründe, um Budget bewilligt zu bekommen. Diese Gründe haben ihre absolute Berechtigung, sind jedoch mit dem Handicap versehen, dass ihre Richtigkeit erst mit dem Eintreffen eines Zwischenfalls belegt werden kann. So wundert es auch nicht, wenn rund ein Viertel der Unternehmen ihre Ausgaben in IT-Security mit zuvor entstandenen Schäden begründen.
Informationssicherheit als Business-Enabler ist nur bei wenigen (13 %) der Schweizer Unternehmen ein Grund zu investieren. Daraus kann geschlossen werden, dass der Wert gut geschützter Daten mehr als eine Verteidigungsmassnahme denn als Möglichkeit, dem Markt einen echten Mehrwert zu bieten, gesehen wird. Auf wie viele Marktchancen muss (sicherheitsbedingt) eine Marketingabteilung verzichten?
Security Officers kämpfen täglich mit dem Umstand, dass sich der Return on Investment (ROI) von Sicherheitsinvestitionen nur schwer und mit grossem Aufwand glaubhaft belegen lässt. Lediglich 15 Prozent der Investitionsentscheide basierten auf Berechnungen des ROI.
Die Herausforderungen der CIO’s
Die Betriebssysteme, respektive deren Sicherheit, steht bei den meisten Verantwortlichen weit oben auf der Prioritätenliste der operativen Aufgaben. Über die Hälfte der IT-Verantwortlichen will sich in den kommenden Monaten damit intensiv auseinander setzen.
Hacker machen sich vor allem bekannte Schwachstellen in Betriebssystemen zu Nutze, und diese auszumerzen hat Priorität. Diese Aufgabe wird nur noch durch die drohenden Virusrisiken überboten. Beinahe die Hälfte der Unternehmen sieht darin ihre grösste Bedrohung, was nicht verwunderlich ist. Obwohl Anti-Viren-Programme immer besser werden, beklagen vier von fünf Firmen, durch Computerviren und andere Schadprogramme verseuchte Rechner.
Die „top three tasks“ auf strategischer Ebene stellen für das IT-Management die Sicherheitsarchitektur (50 %), die Erstellung eines Notfallplans (37 %) und die Steigerung der Wahrnehmung von Richtlinien und Verfahren durch die Anwender dar. Vor allem letzterer Punkt zeigt klar den Trend und die Nachfrage nach Instrumenten der Entwicklung von Sicherheitskultur in Unternehmen auf.
Themen in den Medien, Themen in der Praxis
Interessant ist der Unterschied zwischen thematisierten Herausforderungen in den Medien und was der Branche wirklich zu schaffen macht. Beinahe 90 % der Mitarbeiter verfügen über einen PC mit Internetanschluss, und rund die Hälfte davon ist mit mobilen Geräten wie Laptops, PDA’s und Handhelds ausgerüstet. Berücksichtigt man die Medienpräsenz von Themen wie zum Beispiel WLAN, müsste man annehmen, hier wäre die grösste Druckstelle am Schweizer IT-Schuh. Tatsache ist aber, dass rund die Hälfte der Firmen über kein WLAN verfügt, etwa ein Drittel eines hat und nur jedes zehnte Unternehmen noch ein WLAN plant. Gesichert werden die Datentransfers vorwiegend über die standardmässig mitgelieferten WEP- oder 802.1-Verschlüsselungen. Nur noch jedes fünfte Unternehmen vertraut auf die sicheren VPN’s.
Verantwortung und Policies
Security-Produkte werden immer komplexer, und oft machen Anwender der Industrie den Vorwurf, mit unausgereiften Produkten konfrontiert zu werden. Hersteller wiederum schieben die Hauptverantwortung für die IT-Security den Anwendern zu. Gemäss neuesten Umfragen soll gar jedes zweite Unternehmen sich über zu teure Sicherheitslösungen und zu komplexe Technologien beschweren. Während Produkte und Systeme mit qualifizierten Fachleuten unter Kontrolle gehalten werden können ist es bei weichen Faktoren wie den Mitarbeitern wesentlich schwieriger. Der richtige Umgang mit Daten und PC’s durch Mitarbeiter ist für viele Security Officers die zentrale Herausforderung. Um so erstaunlicher ist es, wenn man erkennt, dass nur 13 Prozent der Unternehmen über eine komplette Security Policy verfügen und etwa ein Fünftel schriftlich definierte Richtlinien vorweisen kann. Das Gros der Firmen hat lediglich informelle Richtlinien oder gar keine. Aussagekräftig ist der Umstand, dass zwar in vielen Unternehmen die Verantwortung für Sicherheitsrichtlinien zur Chefsache erklärt wurde, aber nur zwei Drittel der Angestellten davon Kenntnis hatten. Der Grund dafür dürfte in der mangelnden Kommunikation liegen, aber auch darin, dass die Effektivität von Richtlinien meistens nur ad hoc und bei Bedarf überprüft wird.
Kundendaten und ihr Schutz
Für viele Unternehmen kann der Schutz von Kundendaten von strategischer Bedeutung sein. Kundendaten von Spitälern, Krankenkassen, aber auch Transportunternehmen können für die jeweiligen Unternehmen von überlebenswichtiger Bedeutung sein. Jeder einzelne Mitarbeiter trägt hier eine grosse Verantwortung. So verwundert es nicht, dass Unternehmen einen grossen Teil ihrer Ressourcen in die Information zum Umgang mit Kundendaten stecken. Rund 70 Prozent der Schweizer Unternehmen nennen dies ihre wichtigste Massnahme. Auf Seite der technischen Vorbeugung sind eine sichere Authentifizierung (44 %), sichere Internet-Transaktionen (42 %) und regelmässige Security Audits (27 %) die wichtigsten Elemente, um den Schutz von Kundendaten zu gewährleisten.
Wo lauert die Gefahr?
Fragt man Unternehmen nach ihrer Einschätzung bezüglich der Bedrohungsentwicklung, so sind sich die meisten einig: Gefahren lauern überall, und sie werden von Jahr zu Jahr grösser. Fragt man Sie aber danach, wie das Risiko fürs eigene Unternehmen eingeschätzt wird, so relativiert sich die Meinung der Verantwortlichen. Grundsätzlich wird der Stellenwert von IT-Security von Unternehmen als hoch eingestuft. Auf einer Skala von eins bis zehn liegt der Durchschnitt in der Schweiz bei 7,31 Punkten. Erstaunlich ist, dass nur 10 % der Unternehmen ihr eigenes Risiko als eher hoch einschätzen, 30 % als mittel und
55 % als gering. Dies, obwohl praktisch alle Unternehmen im vergangenen Jahr zwei oder mehr Sicherheitsverstösse zu verzeichnen hatten. Spitzenreiter der Verstösse oder Angriffe gehen aufs Konto von Viren oder anderer Malware (82 %). Unbeabsichtigte Fehlkonfigurationen oder menschliches Versehen gelten bei jedem dritten Unternehmen als Ursache für Sicherheitsverstösse, und rund 13 Prozent basieren auf dem Ausnutzen bekannter Schwachstellen im Betriebssystem.
Untersuchungen und Prognosen
Wie im Jahr 2004 wird auch dieses Jahr, die IT-Security wieder zum Zugpferd der Branche. Obwohl in den meisten Sparten der Informatik die Umsätze nur langsam steigen, erfreut sich der Bereich der Informationssicherheit steigender Nachfrage. Hier besteht das grösste Wachstumspotenzial. Das dürfte sich vor allem für Anbieter auszahlen, die es in den vergangenen Jahren geschafft haben, sich in diesem gefragten Markt zu positionieren und einen Namen zu schaffen.
Wie jedes Jahr bieten die zahlreichen Forschungs-Institute eine Vielfalt von Untersuchungen und Prognosen zum IT- und IT-Security-Markt. Ohne darauf näher eingehen zu wollen: Eines habe sie gemeinsam, IT-Security ist in allen Belangen das Thema Nummer eins. Die Branche kann’s freuen. 05/2005, Rafael Cruz
Kommentare zu diesem Beitrag | | |
Weitere Beiträge zu diesem Thema | | |
|  | | Der erste Messetag ist für die meisten Aussteller eher ernüchternd. Wenig Publikum sucht nach kompetenten Gesprächen - zumindest ab der Mittagszeit. Im allgemeinen fehlt eindeutig das "C" in der ICT ... | |  | | Als bedeutendem Impulsgeber fiebert die Wachstumsbranche für Internet, Computer und Telekommunikation (ICT) der „Orbit-iEX“ vom 24. bis 27. Mai in der Messe Basel entgegen. Chefredakteur Marcus Beyer ist für Securitymanager.de live vor Ort ... | |  | | Die im vergangenen Jahr eingeläutete Trendwende bei den IT-Budgets hält an: Jedes dritte Unternehmen will dieses Jahr mehr ausgeben... | |  | | Angesichts der weltweiten Vernetzung, auf die wir zunehmend vertrauen und vertrauen müssen, ist Informationssicherheit ein Thema, das nahezu jeden angeht. Die Informationssicherheit – mit ihrem Fokus auf der Vertraulichkeit, Integrität und... | |  | | Während der Bundestag über das Anti-Spam-Gesetz streitet, bleibt nach jüngsten Studien fraglich, ob die Gesetzgebung überhaupt etwas gegen den elektronischen Werbemüll ausrichten kann. Die meisten Unternehmen verlassen sich lieber auf die Technik... | |
Beiträge aus anderen Themenbereichen | | |
|  | | Um auf die Anforderungen des Marktes schneller und flexibler reagieren zu können, hat die Volkswagen Zubehör GmbH ihr Finanzreporting einer radikalen Frischzellenkur unterzogen... | |  | | Am 12. Oktober 2010 dreht sich auf dem Kongress der VOICE Days plus alles um aktuelle Strategien für die erfolgreiche Gestaltung der Kundeninteraktion. Interview mit Nils Müller, CEO & Founder TrendONE und Keynote-Speaker... | |  | | Gerade in kleineren und mittelständischen Unternehmen wird oft aus Zeit- und Budgetgründen die Optimierung der eigenen Website für Suchmaschinen vernachlässigt... | |
| | | |
