Unter­neh­men müs­sen bei IT-Sicher­heit nachbessern

Basis­schutz reicht nicht aus

Danach nut­zen alle befrag­ten Unter­neh­men Viren­scan­ner, Fire­walls sowie einen Pass­wort­schutz für Com­pu­ter und ande­re Kom­mu­ni­ka­ti­ons­ge­rä­te. Die­se Funk­tio­nen sind in der Regel in den gän­gi­gen Betriebs­sys­te­men wie Win­dows ent­hal­ten. Immer­hin vier von fünf (80 Pro­zent) Unter­neh­men ver­schlüs­seln zudem ihre Netzwerkverbindungen.

Dage­gen ver­schlüs­selt nicht mal die Hälf­te (45 Pro­zent) Daten auf Fest­plat­ten oder ande­ren Daten­trä­gern. Nur 40 Pro­zent set­zen auf eine Ver­schlüs­se­lung ihres E‑Mail-Ver­kehrs. „Gän­gi­ge Schutz­maß­nah­men wie Viren­scan­ner und Fire­walls rei­chen in vie­len Fäl­len nicht mehr aus“, sagt Bit­kom-Prä­si­dent Prof. Die­ter Kempf. „Die Schad­soft­ware wird immer kom­ple­xer und bleibt nicht sel­ten uner­kannt. Aber selbst wenn Unter­neh­men den Angriff bemer­ken, kann oft­mals ein Daten­ver­lust nicht mehr ver­hin­dert wer­den.“ Daher müss­ten die Unter­neh­men ihre Sicher­heits­maß­nah­men verstärken. 

War­nung vor Ver­lust sen­si­bler Daten

Laut Umfra­ge ver­fü­gen nur 29 Pro­zent der befrag­ten Unter­neh­men über eine Absi­che­rung gegen Daten­ab­fluss von innen (Data Leaka­ge Pre­ven­ti­on) und nicht ein­mal ein Vier­tel (23 Pro­zent) über spe­zi­el­le Angriffs­er­ken­nungs­sys­te­me für Atta­cken von außen (Intru­si­on Detec­tion). Die­se Sys­te­me ana­ly­sie­ren die Daten­strö­me in einer Orga­ni­sa­ti­on und mel­den ver­däch­ti­ge Akti­vi­tä­ten. „Der Ver­lust sen­si­bler Daten kann schwe­re wirt­schaft­li­che Fol­gen haben, wenn Paten­te ver­letzt oder Pro­duk­te kopiert wer­den“, so Kempf.

„Sys­te­me zur Früh­erken­nung von Angrif­fen, Sicher­heits­vor­keh­run­gen gegen Daten­dieb­stahl und ins­be­son­de­re die Ver­schlüs­se­lung wich­ti­ger Infor­ma­tio­nen machen es Angrei­fern deut­lich schwe­rer.“ Jedes vier­te (25 Pro­zent) Unter­neh­men setzt erwei­ter­te Ver­fah­ren zur Benut­zer­iden­ti­fi­ka­ti­on ein, zum Bei­spiel eine Zwei-Fak­tor-Authen­ti­fi­zie­rung oder bio­me­tri­sche Merk­ma­le. Ein Fünf­tel der Unter­neh­men tes­tet die eige­nen Sicher­heits­kon­zep­te mit Hil­fe so genann­ter Pene­tra­ti­ons­tests, bei der Angrif­fe simu­liert werden. 

Sicher­heits­schutz als Kostenfrage

Nach den Ergeb­nis­sen der Umfra­ge sind grö­ße­re Unter­neh­men beim The­ma IT-Sicher­heit in der Regel bes­ser auf­ge­stellt als klei­ne­re. So nutzt die Hälf­te der gro­ßen Unter­neh­men ab 500 Mit­ar­bei­tern auf­wen­di­ge Authen­ti­fi­zie­rungs­ver­fah­ren, aber nur ein Fünf­tel (21 Pro­zent) der klei­nen mit 10 bis 99 Beschäftigten.

Angriffs­er­ken­nungs­sys­te­me set­zen 40 Pro­zent der gro­ßen und 22 Pro­zent der klei­nen Unter­neh­men ein. „Gro­ße Unter­neh­men ver­fü­gen über mehr finan­zi­el­le und per­so­nel­le Res­sour­cen, um den Schutz ihrer IT-Sys­te­me zu gewähr­leis­ten“, sag­te Kempf. Die Bit­kom-Umfra­ge zeigt aber auch einen posi­ti­ven Trend. So pla­nen immer­hin 17 Pro­zent der Unter­neh­men kon­kret, eine Ver­schlüs­se­lung ihrer Daten ein­zu­füh­ren, 18 Pro­zent wol­len in naher Zukunft E‑Mails ver­schlüs­seln und eben­falls 18 Pro­zent ste­hen vor der Ein­füh­rung eines Angriffserkennungssystems. 

Hin­weis zur Metho­dik: Grund­la­ge der Anga­ben ist eine Umfra­ge, die Bit­kom Rese­arch durch­ge­führt hat. Dabei wur­den 1.047 Unter­neh­men ab 10 Mit­ar­bei­tern befragt. Die Inter­views wur­den mit Füh­rungs­kräf­ten durch­ge­führt, die für den Schutz ihres Unter­neh­mens ver­ant­wort­lich sind. Dazu zäh­len Geschäfts­füh­rer sowie Füh­rungs­kräf­te aus den Berei­chen Unter­neh­mens­si­cher­heit, IT-Sicher­heit, Risi­ko­ma­nage­ment oder Finan­zen. Die Umfra­ge ist reprä­sen­ta­tiv für die Gesamtwirtschaft.