Immerhin sind grundlegende Abwehrmaßnahmen mittlerweile Standard, wie die Studie “IT-Security 2003” der Informationweek in Zusammenarbeit mit Mummert Consulting zeigt. Rund 86 Prozent der deutschen und 79 Prozent der amerikanischen Unternehmen setzen Antivirensoftware ein. 80 Prozent der Firmen in beiden Ländern schützen ihre Netzwerke zusätzlich durch Firewalls. Über die Hälfte der befragten IT-Manager gibt an, Daten mit einem automatischen Backup zu sichern. 70 Prozent der deutschen Firmen bringen ihre Schutzprogramme durch regelmäßige Updates auf den neuesten Stand. In den USA sind es 35 Prozent. Mit aktueller Software ausgestattet, glauben sich viele Unternehmen ausreichend gerüstet.
Virenscanner allein sind meist machtlos
An der Strategie, die auf Basisschutz setzt, soll auch künftig festgehalten werden. Nur 40 Prozent der amerikanischen Firmen haben beabsichtigt, 2003 mehr Geld für IT-Sicherheit auszugeben als im Jahr zuvor. In Deutschland geben dies gerade mal 24 Prozent der Unternehmen an. Eine gefährliche Haltung, denn die rasante technologische Entwicklung bringt immer neue Cyber-Schädlinge hervor. Nach Einschätzung von IT-Experten sind klassische Virenscanner, selbst wenn sie ständig auf dem aktuellen Stand gehalten werden, angesichts neuer Spielarten von Computerviren immer öfter machtlos. Nur eine zusätzliche Personal Firewall für jeden einzelnen Rechner in Verbindung mit einem so genannten Intrusion Detection System (IDS) – einer Art virtueller Alarmanlage – kann den Großteil der Attacken abwehren.
Solche Systeme sind allerdings auch sehr personalintensiv, da sie eine Fülle von Daten produzieren. Bei personell schlecht besetzten IT-Abteilungen können sie sogar mehr schaden als nutzen. In den USA verwenden immerhin schon 43 Prozent der Unternehmen IDS, gut ein Drittel verfügt über persönliche oder Benutzer-Firewalls. In Deutschland liegen die Anteile für IDS bei 24 Prozent, für Personal Firewalls bei 29 Prozent.
Da immer neue Sicherheitslücken entstehen, sind regelmäßige Risiko-Bewertungen unerlässlich. Ebenso sollten Firmen die geltenden Sicherheitsrichtlinien überprüfen. Dies tun jedoch nur 34 Prozent der deutschen und 36 Prozent der amerikanischen Unternehmen. Laut Mummert Consulting und InformationWeek hat rund ein Zehntel der Firmen beiderseits des Atlantiks bislang keine Sicherheitsrichtlinien festgelegt. Fast die Hälfte der Befragten weiß nicht einmal, ob sie von Cyber-Attacken betroffen ist.
Neue Schädlinge auf dem Vormarsch
Wie wichtig es ist, ausreichend gegen Sicherheitsverstöße gerüstet zu sein, zeigt die Bilanz des vergangenen Sommers. Allein von Juli bis September 2003 sind weltweit 823 neue Cyber-Schädlinge aufgetaucht – 26 Prozent mehr als im Vorjahreszeitraum. Fast die Hälfte aller Angriffe auf die Netzwerke deutscher und amerikanischer Unternehmen geht auf das Konto von Viren, Würmern und trojanischen Pferden. Neue Anwendungen wie Musik-Tauschbörsen und elektronische Telegrammsysteme (Instant-Messaging) öffnen noch raffinierteren Web-Parasiten Tür und Tor und lassen herkömmliche Anti-Viren-Programme alt aussehen.
Vor allem Würmer sind eine große Bedrohung für die IT-Sicherheit von Firmen. Anders als Viren vermehren sie sich selbstständig über die Netzwerke und richten so immensen Schaden an. Allein der Internet-Wurm “Blaster” hat weltweit innerhalb von acht Tagen Kosten in Höhe von zwei Millionen US-Dollar verursacht. Durch die steigende Zahl privater Internetzugänge nimmt auch die Gefahr so genannter “Script Kiddies” zu. “Script Kiddies” sind meist Jugendliche, die Hacker-Software aus dem Internet beziehen und diese ohne Kenntnis der Konsequenzen willkürlich einsetzen.
In Deutschland sind bereits fast 60 Prozent der Unternehmen Opfer von externen Übergriffen geworden. Neun von zehn erlitten dadurch finanzielle Verluste. In den USA stieg die Zahl der Unternehmen, die durch Sicherheitsverstöße mehr als 500.000 Dollar einbüßten, im Vergleich zum Vorjahr um das Dreifache auf sechs Prozent an. 85 Prozent der Viren, Würmer und Trojanischen Pferde beginnen in den USA ihr zerstörerisches Werk, bevor sie sich weltweit verbreiten. Externe Angriffe legen in den USA häufiger als in Deutschland ganze Anwendungen oder gar Netzwerke lahm. Hierzulande ist vor allem die Datensicherung anfällig für feindliche Übergriffe. Rund zwölf Prozent der Sicherheitsverstöße führen zur Beeinträchtigung oder zum Verlust von Daten. In den USA liegt der entsprechende Anteil bei etwa sechs Prozent.
Neben den externen Bedrohungen stellen auch die eigenen Mitarbeiter eine Gefahr für die IT-Sicherheit dar. Sie beherrschen häufig die Anwendungen nicht und verursachen vermeidbare Fehler. Mehr als ein Drittel der Befragten in beiden Ländern beklagt mangelndes Problembewusstsein und unzureichende Schulung der Mitarbeiter. Handlungsbereitschaft besteht bereits: 50 Prozent der Unternehmen in den USA und in Deutschland wollen künftig mehr für die Aus- und Fortbildung des Personals tun.
Die IT-Sicherheit ist Chefsache
Insgesamt aber wird noch zu wenig für die IT-Sicherheit getan. Die Mehrheit der Unternehmen lehnt sich in dem Glauben zurück, ausreichend gegen Cyber-Attacken gerüstet zu sein. Dies liegt auch daran, dass die IT-Security in beiden Ländern vielfach erst dann zur Chefsache erklärt wird, wenn Angriffe auf IT-Systeme zu nennenswerten Schäden führen. Die Datensicherheit gilt allgemein als technisches Problem und wird deshalb oft an die Fachabteilung delegiert. Zwar entscheidet in beiden Ländern mehrheitlich der CEO über die Höhe des IT-Budgets – dies geben in Deutschland 62 und in den USA 49 Prozent der Befragten an –, doch die Führungsetage interessiert sich bislang kaum für das Thema.
Verantwortlich für den Bereich Datensicherheit sind in den USA und in Deutschland zuerst die IT-Abteilungen. Die aber haben in den seltensten Fällen die nötige Entscheidungsbefugnis. Nur zwölf Prozent der deutschen und 21 Prozent der amerikanischen Firmen beschäftigen einen Chief Information Officer. Die Anteile für den Chief Security Officer liegen bei drei und fünf Prozent. Somit gibt es mehrheitlich keinen verantwortlichen Entscheider, der auf regelmäßige Risiko-Assessments oder Sicherheitstests achtet. Schwachstellen bleiben meist unerkannt, und niemand weiß, ob gewählte Strategien tatsächlich erfolgreich sind.
Einzelne Maßnahmen kombinieren
Die Maßnahmen für mehr IT-Sicherheit gleichen daher oft blindem Aktionismus. Nur die intelligente Verknüpfung der einzelnen Schutzmaßnahmen zu einem mehrschichtigen Sicherheitsnetz, das Gateways, Server und Client-Rechner vor Angriffen bewahrt, bietet optimalen Schutz. Immerhin wird der Datensicherheit mittlerweile eine hohe Bedeutung beigemessen: Auf einer Skala von eins bis zehn bewerten sie die Befragten in beiden Ländern mit durchschnittlich 7,5. Bleibt zu hoffen, dass sich diese Einschätzung bald auch in ausreichenden Präventivmaßnahmen niederschlägt.
