Studie: Management blockiert Sicherheit
Das größte Hindernis für mehr Sicherheit in der Informationsverarbeitung ist mangelndes Bewusstsein: Bei den Mitarbeitern (in 65 Prozent der Unternehmen), aber auch beim mittleren (61 Prozent) und Top-Management (50 Prozent). Zu wenig Geld sahen "nur" 46 Prozent der Teilnehmer an der KES/KPMG-Sicherheitsstudie 2002 als Problem. Auch den Kenntnisstand des Top-Managements beurteilen die befragten IT-Profis zu 62 Prozent als mittel oder "eher schlecht". Und daran dürfte sich so schnell nichts ändern: Denn für fast ein Drittel steht fest, dass ihr Top-Management Informationssicherheit eher nur als "lästiges Übel" ansieht, so das Ergebnis der Studie.
Die Fachzeitschrift KES untersucht alle zwei Jahre die Lage der Informationssicherheit in großen deutschen Unternehmen, in diesem Jahr in Zusammenarbeit mit dem Beratungsunternehmen KPMG. Erschreckend dabei: Seit 1994 habe sich, ungeachtet aller Sicherheits-Diskussionen, an der Einstellung der Top-Manager kaum etwas geändert: Damals hätten sogar 35 Prozent der Befragten den mangelhaften Stellenwert der Sicherheit beim Management beklagt, vor zwei Jahren waren es noch 30 Prozent, heute 29 Prozent.
Wo Geld und Unterstützung durch das Management fehlen, sei es laut KES nicht verwunderlich, dass die breit beworbenen Sicherheitstechnologien der letzten Jahre in der Praxis wenig eingesetzt würden. Selbst große Unternehmen, die Firewalls und Anti-Virus-Software praktisch flächendeckend nutzen, hätten nur relativ selten Intrusion Detection Systems (IDS) und Public Key Infrastructures (PKI) installiert. Auch digitale Signaturen und biometrische Systeme seien Mangelware – allerdings sind letztere kürzlich in Verruf geraten, doch nicht so sicher zu sein, wie erhofft.
Nur etwa ein Viertel der befragten Unternehmen nutze beispielsweise digitale Signaturen in der B2B-Kommunikation (Business to Business); beim E-Government seien es bis dato sogar nur sechs Prozent. Wenn Signaturen im Einsatz sind, dann vorrangig als reine Softwarelösungen; Chipkarten liegen auf einem abgeschlagenen zweiten Platz. Dabei handele es sich überwiegend um einfache Systeme: Teure Kartenterminals mit eigener Tastatur oder Anzeigeeinheiten sind wenig gefragt (so genannte Klasse-2- bzw. Klasse-3-Leser). Gleiches gelte für die "höherwertigen gesetzeskonformen Signaturen", die bei den meisten Befragten "nicht vorgesehen" sind, so KES. Dabei haben die vergleichsweise einfach zu implementierenden "fortgeschrittenen" Signaturen noch die besten Aussichten. Die höchste (und teuerste) Norm der "qualifizierten elektronischen Signaturen mit Anbieterakkreditierung" hat nach Ergebnis der Studie kaum Aussicht auf weiteren Zulauf.
Einfache Installation und Anwendung bleiben auch bei der Authentisierung Trumpf: Hier dominieren weiterhin Passwörter. Biometrische Verfahren sind bei maximal fünf Prozent vorhanden und sollen bei mehr als der Hälfte der Antwortenden auch zukünftig nicht angeschafft werden. Public Key Infrastructures haben etwa 20 Prozent der befragten Unternehmen implementiert, über 50 Prozent planen das. Ziel der Systeme ist allerdings vorrangig die Verschlüsselung, die zumindest selektiv schon heute stark genutzt wird: Beispielsweise auf 53 Prozent der Client-Systeme/PCs für sensitive Dateien (für weitere 33 Prozent geplant). Immerhin 41 Prozent der erfassten mobilen Endgeräte arbeiten schon heute mit einer komplett verschlüsselten Festplatte. Wo in der E-Mail-Kommunikation ein Chiffrierschlüssel des Partners vorliegt, nutzen ihn immerhin 44 Prozent der Befragten zumindest für sensitive Nachrichten, 13 Prozent für jegliche Kommunikation mit Externen. Dabei komme im Unternehmensbereich der (Open)PGP-Standard doppelt so häufig zum Einsatz wie S/MIME.
Automatisierte Angriffserkennung befindet sich laut Studie in der Anlaufphase: Rund 40 Prozent der Teilnehmer haben Intrusion Detection Systems bereits realisiert, etwa genauso viele planen dies. Bei allen Zahlen sollte man beachten, dass die Stichprobe der KES/KPMG-Studie eher positiv verzerrt sein dürfte, da die Teilnehmer aus einem besonders sensiblen Umfeld kommen: Rund 20 Prozent der befragten Unternehmen gehören der Kreditwirtschaft an, jeweils 10 Prozent sind Versicherungen, Behörden oder Berater. Im Durchschnitt beschäftigt jede dieser Institutionen mehr als 10 Mitarbeiter ausschließlich für die Informationssicherheit; die IT-Infrastruktur des durchschnittlichen Teilnehmers umfasst mehr als 7 Mainframes, 200 Server, 4.500 Clients/PCs und 600 mobile Endgeräte wie Notebooks und PDAs.