Sicherheitsreport: Informationssicherheit muss als kontinuierlicher Prozess etabliert werden

Frankfurt am Main, 24. Januar 2007 – Die Nationale Initiative für Internetsicherheit (NIFIS e.V.) vertritt zwar die Meinung, dass das Sicherheitsbewusstsein in deutschen Unternehmen gestiegen ist, dennoch werde dem Thema Informationssicherheit gerade im Hinblick auf eine kontinuierliche und langfristige Datenabsicherung immer noch nicht der Stellenwert eingeräumt, der eigentlich notwendig ist. Diese Stellungnahme stützt sich auf eine aktuelle empirische Erhebung der NIFIS unter 100 Experten aus dem Internet- und IT-Sicherheitsumfeld, in der unter anderem nach den Hauptursachen für die Entstehung von Sicherheitslücken gefragt wurde. 38 Prozent der Branchenkenner sehen in der nicht ausreichenden Pflege und Wartung bestehender Systeme einen Hauptgrund für Sicherheitsprobleme, weitere 48 Prozent sagen, dass dies zumindest teilweise der Fall sei. „Das hängt damit zusammen, dass mittlerweile zwar die meisten Unternehmen Sicherheitslösungen implementieren, dann aber glauben, damit sei alles für die Informationssicherheit getan. Informationssicherheit lässt sich aber nicht durch eine einmalige Aktion herstellen, sondern nur über einen kontinuierlichen Prozess, der stetige Aufmerksamkeit verlangt und weiterentwickelt werden muss“, kommentiert NIFIS-Vorstandsvorsitzender Peter Knapp. Die Technik selbst ist jedenfalls nach Ansicht der befragten Experten nicht in diesem Maße verantwortlich für auftretende Sicherheitslücken. Nur knapp ein Fünftel vertritt die Meinung, dass hier die Hauptursache zu finden ist.

Weitgehende Einigkeit besteht unter den Befragten auch dahingehend, dass das Thema Informationssicherheit in die Managementetage jedes Unternehmens gehört. Insgesamt 79 Prozent gehen indes davon aus, dass sich die Führungskräfte in stärkerem Maße als bisher um die Etablierung einer langfristigen und effizienten Datensicherheit kümmern müssen. „Wir hoffen, dass die Berücksichtigung der Informationssicherheit bei BASEL II und Solvency II dem Thema Nachdruck verleiht und zu einem höheren Stellenwert im Topmanagement verhilft. Wenn den Entscheidern die Informationssicherheit selbst schon nicht so wichtig ist, bleibt zu hoffen, dass sie sich durch höhere Kapitalkosten, die bei unzureichenden Vorkehrungen drohen, zu mehr Sicherheit motivieren lassen“, so Peter Knapp.

Die NIFIS sieht sich aufgrund dieser Resultate in ihrer Ansicht bestärkt, dass der von ihr seit der Gründung im Jahr 2005 beschrittene Weg der Aufklärung und Einbindung der Unternehmen bei der Erarbeitung von Sicherheitslösungen richtig ist. „Durch die Empfehlung konkreter Handlungsanweisungen unterstützen wir die Führungskräfte, die neben der Informationssicherheit noch zahlreiche andere Aufgaben zu bewältigen haben“, sagt Peter Knapp. Wie wichtig auch die interne Aufklärungsarbeit ist, zeigt ein weiteres Ergebnis der Befragung. Siebzig Prozent der Befragten stufen nämlich die mangelnde Information der eigenen Mitarbeiter in Bezug auf die Einhaltung von Sicherheitsregeln als ursächlich für die Entstehung von Sicherheitslücken ein. Auch mangelnde Kontrollen spielen eine Rolle – zumindest sehen dies zwei Drittel der Fachleute so.

Die Experten wurden im Rahmen der empirischen Erhebung auch gefragt*, welche Motive bei Angriffen auf Unternehmensnetzwerke ihrer Meinung nach ausschlaggebend sind. 83 Prozent gehen davon aus, dass die ganz bewusste Schädigung eines bestimmten Unternehmens eines der Hauptmotive ist. Daneben spielen hauptsächlich „weichere“ Faktoren eine entscheidende Rolle: So stünden zum einen der Nervenkitzel und die Abenteuerlust (sagen neunzig Prozent), zum anderen die Stärkung des eigenen Selbstbewusstseins (laut 83 Prozent der Befragten) im Vordergrund, wenn Unternehmensnetzwerke attackiert werden. Überraschenderweise ist der eigene finanzielle Vorteil für den Täter nicht der wichtigste Beweggrund. Insgesamt nur 62 Prozent nehmen an, dass Geld eine Triebfeder für den Angriff auf die Informationssicherheit eines Unternehmens ist.

* Mehrfachnennungen waren hier ausdrücklich erwünscht

---