Viren, Würmer, kriminelle Mitarbeiter: Firmen versagen bei der Vorsorge

Bisher haben Angreifer oft leichtes Spiel, denn deutsche Firmen sorgen nur mangelhaft vor. Viele schliessen nicht einmal bekannte Sicherheitslücken. Jüngstes Beispiel: der so genannte Slammer-Wurm. Er nutzte Ende Januar ein bekanntes Sicherheitsleck in einer Microsoft-Datenbank aus und zwang schätzungsweise mehr als 100.000 Server weltweit in die Knie. Das Sicherheitsproblem war bereits seit Mitte 2002 bekannt - nur hatten viele Administratoren darauf nicht reagiert. Die meisten Angriffe zielen nämlich auf altbekannte Fehler: Nur 14 Prozent nutzen Schwachstellen, die Experten nicht kennen. Die nahe Zukunft verspricht kaum Verbesserungen: IT-Sicherheit wird als technisches Problem wahrgenommen und deshalb allzu oft an die Fachabteilung delegiert. Sie wird weiterhin nur dann zur Chefsache, wenn Angriffe auf IT-Systeme zu nennenswerten Schäden führen. In weniger als jedem fünften Unternehmen widmet sich die Geschäftsleitung diesem Thema. Dies hat eine Umfrage der Informationweek ergeben, die von Mummert Consulting ausgewertet wurde.

Die Angriffe gegen die Informationstechnologie (IT) haben in den letzten Jahren stark zugenommen. Fast 60 Prozent der Unternehmen in Deutschland sind bereits Opfer von Saboteuren oder Hackern geworden. Laut einer Studie der US-Heimatbehörde stieg die Anzahl der bekannten Sicherheitslücken in den vergangenen zwei Jahren fast um das Vierfache - von 1.090 auf 4.129. In Deutschland verdoppelte sich die Anzahl der Delikte mit Computern. Waren es 1999 noch gut 40.000 Fälle, so zählte das Bundeskriminalamt im Jahr 2001 bereits fast 80.000 Straftaten, Tendenz steigend. Die grösste offene Flanke vieler Unternehmen sind zurzeit Schwachstellen im Betriebssystem. Mehr als ein Drittel aller Angriffe erfolgt auf diesem Wege. Bedenklich: Jedes zehnte Unternehmen hat keine Ahnung, wie die Attacken durchgeführt wurden. Dies ergab eine Studie der Informationweek, die mit Unterstützung von Mummert Consulting ausgewertet wurde. Zunehmend gefährlicher für die IT-Sicherheit werden eigene Mitarbeiter. Schon heute sind sie für fast ein Viertel der Sicherheitslücken verantwortlich. Der Grund: Sie können mit den Systemen nicht umgehen, verursachen so vermeidbare Fehler. Zu den Fehlern aus Unwissenheit tritt böser Wille: Zwei von drei Angriffen gehen auf das Konto der Mitarbeiter. Davon gehen die Experten von Mummert Consulting aus. Die Gründe sind vielfältig: Der Beschäftigte hat sich beispielsweise über Vorgesetzte oder Kollegen geärgert, ist unzufrieden mit der Entlohnung oder seiner Position.

Vier von fünf Unternehmen rechnen mit einem weiteren Anstieg der Kriminalität im IT-Bereich. Und auch, wenn die Sicherheit das Top-Thema der CeBIT ist: In den Chefetagen ist die Aufmerksamkeit für dieses Thema bislang verhalten. In drei von fünf Firmen ist die IT-Abteilung für Sicherheitsmassnahmen verantwortlich. Nur je acht Prozent der Firmen beschäftigen einen Chief Information Officer (CIO) oder einen Datenschutzbeauftragten. Einen Chief Security Officer (CSO) leisten sich nur 1,3 Prozent der Unternehmen. Gleichzeitig bekunden deutsche Unternehmen, dass ihre Sensibilität für die IT-Sicherheit zugenommen habe. Auf einer Skala von eins bis zehn bewerten Entscheider sie mit acht und bewilligen ihrer IT-Fachabteilung mehr Geld für den Kampf gegen Viren, Würmer und Hacker. Über die Budgetfrage hinaus ist die Bereitschaft desTop-Managements, sich intensiv und detailliert mit der IT-Sicherheit zu beschäftigen, auch in der Zukunft nur begrenzt ausgeprägt. Die wachsenden Budgets spiegeln sich in der aktuellen CeBit-Ausstellerbefragung wider: IT-Sicherheit ist ein Top-Them