Es fehlt an Bewusstsein und Unterstützung im Top-Management! 55% der Teilnehmer an der <kes>/Microsoft-Sicherheitsstudie 2008 beklagten diesen Mangel als das Problem, das sie am meisten bei der Verbesserung der Informations-Sicherheit in ihrem Haus behindert.
Damit erhielten die Unternehmensführer mit Abstand das schlechteste Zeugnis seit 1992.
Auch der Stellenwert der Informations-Sicherheit in der Chefetage zeigte sich in der aktuellen Studie auf einem historischen Tief: 41% der Befragten gaben an, ihr Top-Management sehe die Sicherheit eher als "lästiges Übel" an. Nur noch ein Viertel glaubt daran, dass ihre Geschäftsführer, Dienststellenleiter oder Vorstände Informations-Sicherheit als Mehrwert oder vorrangiges Ziel der der Datenverarbeitung schätzen.
Nur ein Punkt wurde von den Studienteilnehmern noch häufiger als die fehlende Unterstützung durch das Top-Management problematisiert: mangelndes Bewusstsein bei den Mitarbeiten (69% Nennungen). Letztlich dürfte sich dieses Defizit aber ohne Sicherheitsbewusstsein und entsprechende Unterstützung aus der Unternehmensführung kaum beheben lassen. An dritter Stelle der Problemhitliste steht noch einmal mangelnde "Security-Awareness", diesmal beim mittleren Management (45 % Nennungen). Damit haben die deutlich gestiegenen Klagen über das Sicherheitsbewusstsein nunmehr die fehlenden finanziellen Mittel, die in der vorigen Studie ganz vorne standen, auf den vierten Platz verdrängt - mit 43% Nennungen verzögert aber auch Geldmangel noch bei einem beträchtlichen Teil der Befragten die Verbesserung der Sicherheitssituation.
Die <kes>-Studien wenden sich an Menschen, die beispielsweise als IT-Sicherheitsverantwortliche, Rechenzentrumsleiter, Revisoren, Datenschutzbeauftragte oder Geschäftsführer für die Informations-Sicherheit in Behörden und Unternehmen zuständig sind. Den umfangreichen Fragebogen der nicht-repräsentativen, aber erfahrungsgemäß sehr aussagekräftige Studie haben dieses Jahr 144 Teilnehmer eingesandt.
Da Organisationen, die einen Sicherheitsverantwortlichen haben und an der Studie mitwirken, tendenziell als besonders sicherheitssensitiv gelten müssen, dürfte es außerhalb der erfassten Stichprobe eher noch deutlich schlechter um die Informations-Sicherheit stehen.
Weitere Ergebnisse der Studie in Kurzform lauten:
- Nachlassende Bedeutung von "Irrtum und Nachlässigkeit eigener Mitarbeiter", die jetzt nur noch Rang Zwei der wichtigsten Gefahrenbereiche stellen - Malware ist nach etlichen Jahren die neue Nummer Eins, Angriffe wurden generell stärker bewertet als "Datenunfälle".
- Trotz vieler Probleme mit Viren und Würmern scheint die Trendwende geschafft: Es gab Malwarevorfälle bei weniger Teilnehmern, weniger nennenswerte Beeinträchtigungen und einen geringeren Anteil dramatischer Schäden - dennoch bleibt Malware eine teure Top-Bedrohung, die sich vermutlich nur durch hohen Aufwand in die jetzigen Schranken weisen lässt!
- Mehr Sicherheit auf mobilen Systemen: 56% der Teilnehmer haben nun Client-Firewalls implementiert, 50% verschlüsseln dort sensitive Daten; zudem ist ein Zuwachs starker Authentifizierungsmechanismen zu verzeichnen. Eigenständige mobile Virenschutzlösungen nahmen hingegen ab und sind nur noch bei 68% der Befragten auch "unterwegs" im Einsatz - dann aber mit verbesserter Updatefrequenz für Malwaresignaturen.
- Ebenfalls 56% der Studienteilnehmer haben ein Berechtigungskonzept für aktive Inhalte (JavaScript, ActiveX, Java, Flash usw.) im Web-Browser implementiert - generelle Zugriffsbeschränkungen für Multimedia- und Web-2.0-Angebote liegen hingegen nur bei einem Drittel vor.
- Über 50% der Studienteilnehmer waren in den letzten zwei Jahren mutmaßlich Opfer von Vertraulichkeitsbrüchen - wichtigste "Datenlecks" sind Verlust und Diebstahl mobiler Systeme und Speichermedien.
- Verstöße gegen Gesetze, Vorschriften und Verträge sind weiterhin das Top-Kriterium zur Risikobewertung - "Imageverlust" folgt auf einem gestärkten zweiten Rang, höher bewertet und jetzt auf Platz Drei sind Schäden durch Manipulation finanzwirksamer Informationen.
- Kenntnisstand zu Gesetzen und Regularien dennoch rückläufig: Trotz Compliance-Debatte und hochrangiger Zielgruppe ist beispielsweise das Gesetz für Kontrolle und Transparenz im Unternehmensbereich (KonTraG) nur 59% der Befragten bekannt.
- Über ein Drittel der teilnehmenden Organisationen hat nach wie vor keine schriftliche Strategie zur Informationssicherheit - leichten Zuwachs gab es bei Policies zu sensitiven Daten und mobilen Endgeräten.
- Schlechteste Sicherheitseinschätzung bei Speichermedien - WLAN-Sicherheit zeigt sich hingegen erneut leicht verbessert.
- Budgets für Informationssicherheit (ISi) scheren in der Stichprobe auseinander: KMU haben weniger ISi-Budget als vor zwei Jahren, große Unternehmen deutlich mehr Geld und ISi-Spezialisten.
- Große Zufriedenheit mit sicherheitszertifizierten Produkten: Bei 90% der Teilnehmer, die zertifizierte Soft- und Hardware einsetzen, haben sich die Erwartungen an Nutzen und Zuverlässigkeit erfüllt.
- Über die Hälfte der Befragten glaubt nicht an einen Sicherheitsvorteil von Open-Source-Software (OSS) gegenüber Produkten mit nicht-offengelegtem Quelltext. 47% halten beides für etwa gleich sicher, 8% OSS sogar für weniger sicher.
- Deutliche Zunahme von Spam: 56% haben mehr unerwünschte als erwünschte E-Mails - mehr als ein Fünftel der Befragten hat sogar über 90% Spam-Anteil im Posteingang.
Damit erhielten die Unternehmensführer mit Abstand das schlechteste Zeugnis seit 1992.
Auch der Stellenwert der Informations-Sicherheit in der Chefetage zeigte sich in der aktuellen Studie auf einem historischen Tief: 41% der Befragten gaben an, ihr Top-Management sehe die Sicherheit eher als "lästiges Übel" an. Nur noch ein Viertel glaubt daran, dass ihre Geschäftsführer, Dienststellenleiter oder Vorstände Informations-Sicherheit als Mehrwert oder vorrangiges Ziel der der Datenverarbeitung schätzen.
Nur ein Punkt wurde von den Studienteilnehmern noch häufiger als die fehlende Unterstützung durch das Top-Management problematisiert: mangelndes Bewusstsein bei den Mitarbeiten (69% Nennungen). Letztlich dürfte sich dieses Defizit aber ohne Sicherheitsbewusstsein und entsprechende Unterstützung aus der Unternehmensführung kaum beheben lassen. An dritter Stelle der Problemhitliste steht noch einmal mangelnde "Security-Awareness", diesmal beim mittleren Management (45 % Nennungen). Damit haben die deutlich gestiegenen Klagen über das Sicherheitsbewusstsein nunmehr die fehlenden finanziellen Mittel, die in der vorigen Studie ganz vorne standen, auf den vierten Platz verdrängt - mit 43% Nennungen verzögert aber auch Geldmangel noch bei einem beträchtlichen Teil der Befragten die Verbesserung der Sicherheitssituation.
Die <kes>-Studien wenden sich an Menschen, die beispielsweise als IT-Sicherheitsverantwortliche, Rechenzentrumsleiter, Revisoren, Datenschutzbeauftragte oder Geschäftsführer für die Informations-Sicherheit in Behörden und Unternehmen zuständig sind. Den umfangreichen Fragebogen der nicht-repräsentativen, aber erfahrungsgemäß sehr aussagekräftige Studie haben dieses Jahr 144 Teilnehmer eingesandt.
Da Organisationen, die einen Sicherheitsverantwortlichen haben und an der Studie mitwirken, tendenziell als besonders sicherheitssensitiv gelten müssen, dürfte es außerhalb der erfassten Stichprobe eher noch deutlich schlechter um die Informations-Sicherheit stehen.
Weitere Ergebnisse der Studie in Kurzform lauten:
- Nachlassende Bedeutung von "Irrtum und Nachlässigkeit eigener Mitarbeiter", die jetzt nur noch Rang Zwei der wichtigsten Gefahrenbereiche stellen - Malware ist nach etlichen Jahren die neue Nummer Eins, Angriffe wurden generell stärker bewertet als "Datenunfälle".
- Trotz vieler Probleme mit Viren und Würmern scheint die Trendwende geschafft: Es gab Malwarevorfälle bei weniger Teilnehmern, weniger nennenswerte Beeinträchtigungen und einen geringeren Anteil dramatischer Schäden - dennoch bleibt Malware eine teure Top-Bedrohung, die sich vermutlich nur durch hohen Aufwand in die jetzigen Schranken weisen lässt!
- Mehr Sicherheit auf mobilen Systemen: 56% der Teilnehmer haben nun Client-Firewalls implementiert, 50% verschlüsseln dort sensitive Daten; zudem ist ein Zuwachs starker Authentifizierungsmechanismen zu verzeichnen. Eigenständige mobile Virenschutzlösungen nahmen hingegen ab und sind nur noch bei 68% der Befragten auch "unterwegs" im Einsatz - dann aber mit verbesserter Updatefrequenz für Malwaresignaturen.
- Ebenfalls 56% der Studienteilnehmer haben ein Berechtigungskonzept für aktive Inhalte (JavaScript, ActiveX, Java, Flash usw.) im Web-Browser implementiert - generelle Zugriffsbeschränkungen für Multimedia- und Web-2.0-Angebote liegen hingegen nur bei einem Drittel vor.
- Über 50% der Studienteilnehmer waren in den letzten zwei Jahren mutmaßlich Opfer von Vertraulichkeitsbrüchen - wichtigste "Datenlecks" sind Verlust und Diebstahl mobiler Systeme und Speichermedien.
- Verstöße gegen Gesetze, Vorschriften und Verträge sind weiterhin das Top-Kriterium zur Risikobewertung - "Imageverlust" folgt auf einem gestärkten zweiten Rang, höher bewertet und jetzt auf Platz Drei sind Schäden durch Manipulation finanzwirksamer Informationen.
- Kenntnisstand zu Gesetzen und Regularien dennoch rückläufig: Trotz Compliance-Debatte und hochrangiger Zielgruppe ist beispielsweise das Gesetz für Kontrolle und Transparenz im Unternehmensbereich (KonTraG) nur 59% der Befragten bekannt.
- Über ein Drittel der teilnehmenden Organisationen hat nach wie vor keine schriftliche Strategie zur Informationssicherheit - leichten Zuwachs gab es bei Policies zu sensitiven Daten und mobilen Endgeräten.
- Schlechteste Sicherheitseinschätzung bei Speichermedien - WLAN-Sicherheit zeigt sich hingegen erneut leicht verbessert.
- Budgets für Informationssicherheit (ISi) scheren in der Stichprobe auseinander: KMU haben weniger ISi-Budget als vor zwei Jahren, große Unternehmen deutlich mehr Geld und ISi-Spezialisten.
- Große Zufriedenheit mit sicherheitszertifizierten Produkten: Bei 90% der Teilnehmer, die zertifizierte Soft- und Hardware einsetzen, haben sich die Erwartungen an Nutzen und Zuverlässigkeit erfüllt.
- Über die Hälfte der Befragten glaubt nicht an einen Sicherheitsvorteil von Open-Source-Software (OSS) gegenüber Produkten mit nicht-offengelegtem Quelltext. 47% halten beides für etwa gleich sicher, 8% OSS sogar für weniger sicher.
- Deutliche Zunahme von Spam: 56% haben mehr unerwünschte als erwünschte E-Mails - mehr als ein Fünftel der Befragten hat sogar über 90% Spam-Anteil im Posteingang.
