IT-Sicherheit: Mangelndes Risikobewusstsein

SicherheitSicherheitsmanagement

Das größte Sicherheitsrisiko für die IT in deutschen Unternehmen geht von den eigenen Mitarbeitern aus. Viele Initiativen scheitern häufig am mangelnden Risikobewusstsein. Das belegt eine aktuelle Studie.

Katastrophen beginnen oft ganz banal. Rund 45 Prozent der Sicherheitsverstöße in deutschen Unternehmen sind einfach menschliches Versehen. Noch weitere überraschende Ergebnisse hat die zum elften Mal durchgeführte Studie »IT-Security 2008« von Steria Mummert Consulting parat.

So hat sich die Zahl von Störungen, die von der eigenen Belegschaft verursacht wurden, gegenüber dem Vorjahr mehr als verdoppelt. Zudem scheitere die Einführung neuer IT-Sicherheitsmaßnahmen immer häufiger am fehlenden Risikobewusstsein der Mitarbeiter, sodass jedes dritte Sicherheitsprojekt scheitere.

Risiken für IT-Sicherheit nehmen zu
Glaubt man der Studie, so hat sich die IT-Sicherheit in Deutschland 2008 insgesamt deutlich verschlechtert gegenüber dem Vorjahr. So gaben 20 Prozent der Befragten an, mehr Verstöße zu verzeichnen, wohingegen nur zehn Prozent einen Rückgang meldeten.

Die größte Gefährdung der IT-Sicherheit geht zwar immer noch von Viren, Trojanern und Spam aus. Doch gleich dahinter kommt menschliches Fehlverhalten. (Bild: Steria Mummert Consulting)

Die Risiken und Gefährdungen nahmen in allen sicherheitsrelevanten Bereichen zu. So stiegen Angriffe durch Viren, Würmer und Spam um knapp fünf auf über 63 Prozent, der Missbrauch von E-Mail-Adressen um elf auf 36 Prozent und unbeabsichtigte Fehlkonfigurationen um 24 auf 45 Prozent. Weitere Risiken gehen von Phishing, externen Denial-of-Service-Attacken, Datendiebstahl und Missbrauch gültiger Benutzerkonten aus.

Leichtsinnige Firmenchefs
Viele Firmenchefs haben sind sich der Risiken bei der IT-Sicherheit immer noch zu wenig bewusst. Deshalb bleiben knapp 30 Prozent der geplanten Projekte auf der Strecke. Gleichzeitig nahm das fehlende Verständnis der Mitarbeiter auf IT-Sicherheitsvorhaben zu.

Nur 25,6 Prozent der Mitarbeiter glauben, dass IT-Sicherheit in ihrer Firma höchste Priorität hat (dunkelblau). Knapp 48 Prozent attestieren ihrer Firma die zweithöchste Priorität. Farbcodierung: Je heller, desto weniger weniger Risikobewusstsein: (Bild: Steria Mummert Consulting)

Diese fatale Einstellung setzt auch die IT-Verantwortlichen unter Druck. Die Sicherheitsverstöße nehmen durch fehlendes Risikobewusstsein kontinuierlich zu, gleichzeitig verhindert genau diese Haltung wirksame Maßnahmen zur Verbesserung der IT-Sicherheit.

Security-Projekte sind Organisations-Projekte
Wolfgang Nickel, IT-Security-Experte bei Steria Mummert Consulting, kennt die Problematik: »Security-Projekte sind immer auch Organisationsprojekte. Wurden früher von der Unternehmensleitung nur die IT-Systeme betrachtet, geht es heute um ganzheitliche Ansätze, die auch die reaktive Handlungsweise der Anwender berücksichtigt«.

Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) beobachtet in seinem aktuellen Lagebericht zur IT-Sicherheit in Deutschland einen Anstieg der Bedrohungen der IT.
(Stefan Girschner/mt)

Weblinks
Steria Mummert Consulting
Bundesamt für Sicherheit in der Informationstechnik