Blauäugig in die Katastrophe
Artikel erschienen in Swiss IT Magazine 2004/15
Es ist zwar ruhiger geworden um Viren wie Netsky und Bagle, die die IT-Welt im vergangenen Frühling in Atem hielten. Nichtsdestotrotz tauchen fast im Tagesrhythmus neue Viren, Würmer und trojanische Pferde auf, die in ihren Auswirkungen aber hinter den bekannten Spitzenreitern zurückbleiben. Immer (wieder und noch) ein Thema ist die Spam-Plage, für die derzeit kein Ende in Sicht scheint. Auf den Websites der unterschiedlichsten Soft- und Hardware-Hersteller finden sich mehr oder weniger diskrete Hinweise auf Sicherheitslöcher in ihren Produkten, die von böswilligen Subjekten ausgenützt werden könnten. Beherrscht werden die Schlagzeilen aber derzeit vom Service Pack 2 für Windows XP, das nach etlichen Verzögerungen und Verschiebungen Anfang August veröffentlicht wurde und die Sicherheit von Windows-PCs endlich erhöhen soll.
Keine Frage, um die Sicherheit von IT-Systemen jeglicher Grössenordnung ist es nach wie vor schlecht bestellt. Das müsste sich doch eigentlich auch im Sicherheitsbewusstsein der Anwender niederschlagen, müsste man meinen. Doch weit gefehlt: Wie die von InformationWeek und InfoWeek durchgeführte IT-Security-Studie 2004 belegt, wird das Sicherheitsrisiko in den meisten Firmen unterschätzt. Gerade mal 10 Prozent der Schweizer Unternehmen, die an der Studie teilgenommen haben, schätzen das aktuelle Sicherheitsrisiko als eher hoch ein. Erschreckende 55 Prozent dagegen rechnen mit einem eher geringen Risiko – und dies, obwohl laut der Studie die Anzahl der Sicherheitsverstösse (z.B. durch Viren, Würmer, Netzangriffe) im Vergleich zum Vorjahr stetig zunimmt. So hatten nach eigener Auskunft über 67 Prozent eher mehr Attacken zu verzeichnen, mehr als die Hälfte davon sogar wesentlich mehr. Bloss 13 Prozent haben tendentiell eher eine Abnahme der Verstösse verzeichnet, und 14 Prozent leiden unter etwa gleich vielen Angriffen wie im Vorjahr.
Da drängt sich natürlich die Frage auf, welche Arten von Angriffen in den Firmen denn am häufigsten auftreten. Wen wundert's – mit über 80 Prozent und deutlichem Abstand führen die Attacken durch Computerviren, Würmer und trojanische Pferde, und das trotz ausgeklügelter Antivirensoftware und -strategien. Mit zusammen rund 30 Prozent ebenfalls recht häufig werden bekannte und unbekannte Schwachstellen in Betriebssytemen ausgenützt, gefolgt von menschlichem Versagen respektive unbeabsichtigten Fehlkonfigurationen, die ebenfalls bei ungefär 30 Prozent der teilnehmenden Firmen zu den bislang üblichen Sicherheitsverstössen gehören.
Umfrage: Sicherheitsrisiko/-versösse
Umfrage: Angriffsmethoden/Sicherheitsmassnahmen
Die Bedrohung ist unzweifelhaft vorhanden, auch wenn sie offenbar von vielen Unternehmen nicht oder zuwenig wahrgenommen wird. Dennoch werden die Firmen auch im nächsten Jahr viel Geld, Zeit und Energie in Sicherheitsmassnahmen und -projekte stecken. Strategisch steht dabei die Festlegung respektive die Verbesserung der Sicherheitsarchitektur im Vordergrund – genau 50 Prozent der Firmen wollen dies tun, während nicht weniger als 24,2 Prozent überhaupt erst eine Strategie für Informationssicherheit entwickeln müssen und sogar fast 37 Prozent einen Notfallplan erst in Planung haben. 16,4 respektive 17,2 Prozent müssen sich darüber hinaus um das Engagement auf Führungsebene sowie um ein adäquates Budget kümmern.
Gerade in diesen zwei Bereichen – Führung und Budget – scheint einiges noch im Argen zu liegen. So ist in den Firmen von über einem Drittel der Teilnehmenden schlicht kein Budget vorhanden, um Sicherheitsmassnahmen umzusetzen. Ebenfalls gut ein Drittel der Projekte scheitern am Unverständnis der Geschäftsführung respektive der Budgetentscheider, und bei einem Viertel ist der Nutzen des Projekts im Vergleich zu den Kosten zu schlecht. Letzteres könnte allerdings auch auf mangelhafte Kommunikation zurückzuführen sein, sind doch je rund 6 Prozent mit der Beratung durch die Hersteller respektive durch die Service Provider, Berater und Systemintegratoren nicht zufrieden.
Probleme gibt es aber nicht nur bei der Einführung von Sicherheitsmassnahmen, sondern auch bei deren Nutzung. Zahlreiche Faktoren und Barrieren behindern die Effektivität der Sicherheit in den Unternehmen, wie die Studie belegt. An erster Stelle bei den internen Effektivitätsbremsen steht der Zeitmangel, dicht gefolgt von den Investionsausgaben. Moniert werden auch das mangelnde generelle Sicherheitsbewusstsein sowie die zu schlechte Schulung. Kein Wunder fühlt sich fast jeder Fünfte durch ständige Änderungen und schlecht definierte Policies überfordert.
Aber auch externe Faktoren blockieren eine effiziente Nutzung der Sicherheit in den Unternehmen. Über 40 Prozent der Teilnehmer findet etwa die Technologie zu komplex, und ebenfalls über 40 Prozent findet sie (im Vergleich zum Nutzen) zu teuer. Auch scheinen für viele ausgereifte Tools, die auf technischen Standards basieren, noch immer zu fehlen, und immerhin 11,7 Prozent sind die vorhandenen Lösungen schlicht noch immer zu unsicher. Und auch in diesem Bereich tut sich die Geschäftsleitung von gut einem Viertel der Antwortenden vor allem durch eine mangelhafte Unterstützung der Projekte hervor.
Dabei wären eine realistische Risikoeinschätzung und eine klare Führung eigentlich zwingende Voraussetzungen, um die immer noch zahlreichen Sicherheitsprobleme endlich anzupacken und zu lösen.
Umfrage: Woran scheitern Sicherheitsinvestitionen
Ob dies im kommenden Jahr geschehen wird, ist aufgrund der Resultate der Sicherheitsstudie 2004 allerdings eher fraglich. Wie es scheint, wird auf allen Stufen noch immer lieber reagiert statt agiert. Immerhin haben derzeit viele Unternehmen konkrete Pläne, wie sie ihre interne Sicherheit in den kommenden zwölf Monaten weiter verbessern wollen. Neben der Verbesserung der Anwendungssicherheit, besseren Zugangskontrollen, der eigentlich längst fälligen Installation von Firewalls sowie der stetigen Abwehr von Virenrisiken oder feindlichen Codes steht bei fast der Hälfte der Antwortenden die Verbesserung der Betriebssystemsicherheit deutlich im Vordergrund. Da kommt Microsoft mit dem Service Pack 2 zu Windows XP ja gerade recht.
Umfrage: Effektivität der Sicherheit/zukünftige Sicherheitsmassnahmen
Die kompletten Ergebnisse der Studie «IT-Security 2004», die parallel in Deutschland, der Schweiz und anderen Ländern durchgeführt wurde, werden anlässlich der Security Xchange in Zürich am 29. September 2004 erstmals in der Schweiz vorgestellt (Anmeldung unter www.securityxchange.de). Ausserdem werden sie in einem Studienband mit zirka 80 Grafiken sowie einen ausführlichen Kommentar zusammengefasst und veröffentlicht. Die Kosten für den Studienband, der ab Mitte September erhältlich sein wird, betragen 330 Euro (exkl. MwSt.) Bei Interesse wenden Sie sich an Frank Sautner, Senior-Projektleitung research+ consulting, Tel. 0049 08121 951595,
E-Mail frank.
frank.sautner@cmp-weka.de.