Punktlösungen statt einheitlicher Konzepte: Zu diesem Ergebnis kommt eine Studie zur ITK-Sicherheit von Berlecon Research. Noch fehlt vielerorts in deutschen Unternehmen ein übergreifendes ITK-Sicherheitskonzept, das die Bereiche Technologie, Organisation und Mitarbeiter ganzheitlich einbezieht so das Fazit der Berlecon-Studie.
Im Auftrag von Damovo, Decru und Nortel befragte das Berliner Marktforschungsunternehmen 193 IT-Leiter zum Zustand ihrer ITK-Sicherheit. Etwa die Hälft der befragten Unternehmen beschäftigt zwischen 500 und 1.000 Mitarbeiter, der Rest liegt darüber.
In dieser Größenordnung sind Firmen relativ gut mit ITK-Sicherheitstechnologien ausgestattet. Firewall und Antiviren-Systeme am Gateway und an den Clients sind hier selbstverständlich. Aber Einheitliche und umfassende Security-Richtlinien ("Policys") haben erst 54 Prozen der von Berlecon befragten Unternehmen vollständig umgesetzt, bei Compliance-Vorschriften (Richtlinien zur guten Unternehmensführung) sind es lediglich 43 Prozent.
Regelmäßige Sicherheitsschulungen - eine der wichtigsten Voraussetzungen für eine wirksame ITK-Security - führen lediglich 43 Prozent der deutschen Firmen mit über 500 Mitarbeitern durch. Erst 57 Prozent von ihnen haben bereits Maßnahmen ergriffen, um ein reibungsloses Zusammenspiel der im Einsatz befindlichen technischen Sicherheitskomponenten sicher zu stellen.
Einzelne Bereiche ihrer ITK-Lanschaft haben diese Unternehmen bereits recht gut abgesichert. Neben den vorher erwähnten Firewalls und Antivirensystemen verschlüsseln erstaunliche 79 Prozent der Befragten ihren Datenverkehr oder planen dies zumindest. Aber nur 30% der Unternehmen, die VoIP nutzen (das war etwa die Hälfte der untersuchten Firmen), verschlüsseln ihren VoIP-Verkehr oder wollen dies tun. In den Unternehmensnetzen sind die Daten demnach besser geschützt als die Sprache, so das Fazit von Berlecon.
Gefahrenlage unverändert krititisch
Bei der Beurteilung aktueller Sicherheitsrisiken stehen altbekannte Malware wie Viren, Würmer und Trojanische Pferde an erster Stelle, 52 Prozent der Befragten Unternehmen sehen in diesem Schadcode hohes Risikopotential. Auf Platz zwei folgt Spam mit 46 Prozent an Nennungen und auf dem dritten Rang auf der Risikoskale liegen gezielte Angriffe auf die Verfügbarkeit der ITK-Systeme in den Unternehmen: 31 Prozent schätzen diese Gefahr als hoch bis sehr hoch ein.
Besonders hervorzuheben in diesem Zusammenhang gilt Folgendes: Für 47 Prozent der von Berlecon befragten Unternehmen bilden unberechtigten Zugriffe der eigenen Mitarbeiter auf geschäftskritische Datenbestände ein ernst zu nehmendes Sicherheitsrisiko. Hier postuliert der Marktforscher: "Der Schutz vor den eigenen Mitarbeitern darf kein Tabu sein."
Vor allem Firmen mit weniger als 1.000 Beschäftigten sehen sich durch ihre eigenen Mitarbeiter bedroh, wohingegen für die großen Unternehmen Hackerangriffe und Industriespionage größere Gefahren darstellen. Dienstleister schätzen das Risiken durch unberechtigte Zugriffe höher ein als produzierenden Betriebe.
Die USB-Falle
Handlungsbedarf sehen die von Berlecon befragten Unternehmen nicht nur beim Sichern ihrer mobiler Endgeräte wie Notebooks oder Smartphones sondern auch bei "dummen" Devices wie etwa den USB-Sticks. Denn auf externen mobilen Datenträgern gespeicherte Daten sind sogar noch weniger als die Endgeräte selbst geschützt. Nur jedes vierte Unternehmen verschlüsselt Daten auf USB-Sticks oder auf den Speicherkarten in Smartphones. Allerdings haben die ITKVerantwortlichen diese Gefahr erkannt: 41 Prozent von ihnen wollen das Thema in Zukunft aktiv angehen und planen, Daten ihrer Mitarbeiter auf mobilen Endgeräten und externen Datenträgern zwingend zu verschlüsseln.
VoIP-Gefahren unterschätzt
Doch nicht nur die von zu Hause ins Büro mitgebrachten USB-Sticks oder MP3-Player fürchten ITK-Administratoren wie der Teufel das Weihwasser, auch andere Consumer-Technologien wie Skype bereiten ihnen schlaflose Nächte. Immerhin elf Prozent der von Berlecon befragten Unternehmen sehen in der Internet basierten Telefonie, die Mitarbeiter unkontrolliert im Unternehmen betreiben, ein sehr hohes Risiko.
Führt hingegen die ITK-Abteilung selbst die VoIP-Technologie ein, schätzen lediglich sieben Prozent dieser Unternehmen das damit einhergehende Risiko als sehr hoch ein. Nur 19 Prozent von ihnen verschlüsseln ihren IP basierten Sprachverkehr. Und in Zukunft wollen dies nur weitere elf Prozent der VoIP nutzenden Firmen tun. Denn nur zehn Prozent von ihnen glauben, dass ihre IP basierte Telefongespräche abgehört werden könnten.
Eine mögliche Erklärung für dieses geringen Risikobewusstsein ist vielleicht die Tatsache, dass in Deutschland bislang keine großen Sicherheitsvorfälle im VoIP-Umfeld bekannt geworden sind. Potentielle Risiken der VoIP-Technologien liegen im systematischen Abhören von Gesprächen oder in der Nutzung der im Gegensatz zu herkömmlichen Geräten recht intelligenten VoIP-Telefone als Einfallstor für unberechtigte Zugriffe auf das Firmennetzwerk. Sollten derartige Vorfälle einmal öffentlich werden, könnte dies zu einer Stärkung des allgemeinen Problembewusstseins führen - wie dies etwa im Bereich Mobility 2005 der Fall war, glaubt Berlecon.