IT-Sicherheit: Unternehmen ergreifen viel zu selten adäquate Maßnahmen für den präventiven Schutz

NIFIS veröffentlicht Besorgnis erregende Ergebnisse aus dem „Deutschen Sicherheitsreport“

Frankfurt am Main, 5. Juli 2007 – Ein alarmierendes Resultat meldet die neueste Ausgabe des „Deutschen Sicherheitsreports“ der Nationalen Initiative für Informations- und Internet-Sicherheit (NIFIS e.V.): Mehr als die Hälfte der im Rahmen der dem Report zugrundeliegenden Studie befragten Branchenexperten hat ausgesagt, im vergangenen beziehungsweise laufenden Jahr von Vorfällen bezüglich der IT- oder Informationssicherheit im eigenen oder in einem anderen Unternehmen gehört zu haben. „Diese Zahl ist natürlich sehr hoch. Wir konnten allerdings bei der Umfrage auch feststellen, dass die Sensibilisierung in deutschen Unternehmen mittlerweile deutlich zugenommen hat“, kommentiert NIFIS-Vorstandsvorsitzender Peter Knapp. Eine deutliche Mehrheit von 64,8 Prozent der Branchenkenner bestätigt diese Ansicht, weist aber auch darauf hin, wo der Schuh noch drückt: Es mangelt noch an der Ergreifung und Umsetzung entsprechender Maßnahmen, um Sicherheitsvorfälle bereits im Vorfeld zu verhindern. „Der erste Schritt – quasi die Selbsterkenntnis, dass die eigene IT-Infrastruktur und damit geschäftskritische Daten vor den vielfältigen Angriffen aus dem Netz nicht sicher sind – ist gemacht. Jetzt gilt es, den zweiten Schritt folgen zu lassen und möglichst schnell die richtigen Maßnahmen zum Schutz unternehmenswichtiger Informationen zu ergreifen“, so Peter Knapp weiter.

Die präventive Gefahrenabwehr setzt unter anderem auch schon beim Einkauf der Hard- und Software ein, mit der die einzelnen Angestellten später arbeiten sollen. 58,9 Prozent der Befragten bringen laut Ansicht der NIFIS das Problem diesbezüglich auf den Punkt: Das Sicherheitsbewusstsein ist eigentlich vorhanden, es wird aber zu wenig Zeit in die Definition der notwendigen Anforderungen investiert und meist nur auf die Leistungsbeschreibung des Herstellers verwiesen. „Die Anforderungen in Bezug auf die IT-Sicherheit müssen explizit formuliert und gemeinsam mit dem Auftragnehmer in einem Katalog mit klaren Soll-/Ist-Listen überprüft werden“, rät Peter Knapp. Positiv anzumerken ist, dass immerhin 35,3 Prozent der Befragten der Meinung sind, dass das Sicherheitsbewusstsein schon sehr hoch ist und die Anforderungen hinsichtlich der IT-Sicherheit auch detailliert formuliert werden.

Nach wie vor heiß diskutiert wird der eigene Mitarbeiter als Sicherheitsrisiko für die Integrität von wichtigen Firmendaten. NIFIS nutzte die Studie, um in Erfahrung zu bringen, wo denn die Ursachen dafür liegen könnten. In einem Ranking von eins bis fünf landete dabei die Aussage auf dem ersten Platz, dass es in den Unternehmen keine klaren Verhaltensregeln gibt, an denen sich die Mitarbeiter orientieren könnten. „Diese sind natürlich die Basis für den präventiven Schutz. Mitarbeiter müssen genau wissen, was sie dürfen und was nicht“, sagt Peter Knapp. „Entsprechende Regelungen lassen sich auch schon in Betriebsvereinbarungen oder allgemeinen Richtlinien festlegen, die sich dann auf die Ausgestaltung von Arbeitsverträgen auswirken.“ Allerdings müsse während der täglichen Arbeit auch die Einhaltung der Sicherheitsvorschriften kontrolliert werden, denn „sämtliche schriftliche Vereinbarungen sind wertlos, wenn diese in der Praxis nicht umgesetzt werden.“ Ein weiteres Problem laut Ansicht der Experten: Häufig erschwert es die komplexe IT-Organisation den Mitarbeitern, die Anforderungen an die IT-Sicherheit in vollem Umfang zu erfüllen. An dieser Stelle könnte eine höhere Fehlertoleranz und einfachere Bedienbarkeit der IT-Systeme Abhilfe schaffen. Eine eher geringe Rolle spielt in diesem Zusammenhang die leicht als Ausrede verwendbare Aussage, die Mitarbeiter selbst wiesen ein zu geringes Verantwortungsbewusstsein auf.
        
Im Rahmen der Studie wurden fünfzig Fachleute aus dem Internet- und IT-Sicherheitsumfeld befragt. Diese ist daher im explorativen Bereich einzuordnen. Sie spiegelt die Grundstimmung in der Branche wider und lässt aus diesem Grund Rückschlüsse auf bestimmte Tendenzen zu. Die Reihe wird fortgesetzt. Anforderung der Studienergebnisse mit detaillierter Auswertung unter nifis@nifis.de.

NIFIS Nationale Initiative für Informations- und Internet-Sicherheit e.V. ist die Selbsthilfeorganisation der Wirtschaft, um Unternehmen im Kampf gegen die wachsenden Gefahren aus dem Internet technisch, organisatorisch und rechtlich zu stärken. Als neutrale und unabhängige Organisation verbindet die NIFIS Wirtschaft, Wissenschaft und Politik und fungiert als Plattform für einen branchenübergreifenden und interdisziplinären Erfahrungsaustausch.
In prominent besetzten Beiräten unterstützen verschiedene Bundespolitiker und Professoren die Arbeit der Initiative.

Weitere Informationen: NIFIS e.V., Weismüllerstraße 21, 60314 Frankfurt, Tel.: 069 40 80 93 70, Fax: 069 40 14 71 59, E Mail: nifis@nifis.de, Web: www.nifis.de  

---