IT-Sicherheit

Weltweit sparen Unternehmen an ihrer IT-Sicherheit und gefährden damit ihre strategischen Geschäftsziele. Dies ergab jetzt eine Umfrage von Ernst & Young zur IT-Sicherheit in Unternehmen. Befragt wurden 1400 IT-Verantwortliche und Geschäftsführer von Unternehmen verschiedener Branchen in 66 Ländern. Obwohl 90 Prozent der Befragten IT-Sicherheit für wichtig halten, räumte ein Drittel ein, im Falle eines Angriffes auf ihre IT-Systeme nur unzureichend reagieren zu können. 34 Prozent gaben an, nur bedingt Überblick zu haben, ob und wann Ihre Systeme überhaupt attackiert werden.

Leitfaden: Wirtschaftskriminalität – Risiko und Vorbeugung

Der Kampf gegen wirtschaftskriminelle Handlungen erfordert ein präzises Verständnis der Motivation und Vorgehensweise des Handelnden sowie die entsprechende Erfahrung, solche Risiken zu minimieren. Er erfordert ebenso eine Kooperation zwischen betroffenen Unternehmen und professionellen Ermittlern und Ermittlungsbehörden. Zu oft werden Risiken, die von solchen Handlungen ausgehen, unterschätzt und geeignete Maßnahmen nur halbherzig eingeleitet.
Die Autoren des Business Guides "Wirtschaftskriminalität – Risiko und Verbeugung" wollen Unternehmer über das Risiko wirtschaftskrimineller Handlungen informieren. Sie erläutern, wie Warnzeichen wahrgenommen werden können, welche Maßnahmen zur Vorbeugung geeignet sind und wie es zu handeln gilt, wenn kriminelle Handlungen vermutet oder entdeckt werden. Dazu tragen auch die umfangreichen Checklisten im Anhang des Leitfadens bei.
Der Business Guide kann beim F.A.Z.-Institut zum Preis von 48,- Euro bestellt werden.

Sicherheitsrisiko WLAN

Das WLAN hört nicht an den räumlichen Grenzen der Unternehmen auf - das hat Vor- und Nachteile. Natürlich entfallen die Kosten für Kabel, Netzwerkdosen und die Handwerksarbeiten. Aber WLAN ermöglicht einen Angriff auf das Unternehmensnetzwerk auch dann, wenn sich der Angreifer nicht direkt auf dem Firmengelände befindet. Dadurch werden in vielen Unternehmen die etablierten Sicherheitsniveaus einfach ausgehebelt. Die Ergebnisse der Studie "WLAN - ein Paradies für Hacker?" der Ernst & Young IT-Security GmbH sind erschreckend. Während die Mehrzahl der deutschen Unternehmen inzwischen für einen grundsätzlichen Schutz ihrer kabelgebundenen Netzwerke sorgt, ist das Sicherheitsbewusstsein beim Thema WLAN vielfach mangelhaft: Die Vertraulichkeit von Informationen ist bei der Mehrheit der Unternehmen nicht gewährleistet. 52 Prozent der Unternehmen nutzen entweder gar keine Verschlüsselung oder verlassen sich auf die unzureichende WEP-Verschlüsselung. Nur 48 Prozent der WLANs wenden weitergehende Verschlüsselungsmechanismen an. Basis der Studie ist eine repräsentative Umfrage unter deutschen Unternehmen. Zusätzlich wurden Unternehmens-Funknetze in sieben deutschen Großstädten untersucht. Insgesamt behandeln viele IT-Verantwortliche das Thema WLAN innerhalb ihrer generellen Sicherheitsstrategie eher stiefmütterlich. Bei der Mehrzahl der befragten Unternehmen enthalten die Regelungen zur Netzwerksicherheit keine speziellen Regelungen zum WLAN. Darüber hinaus verzichten die meisten Unternehmen darauf, eine Firewall zwischen WLAN und LAN zu schalten. Und bei der regelmäßigen Überprüfung der Netzwerksicherheit wird bei immerhin einem Fünftel der Befragten das WLAN nicht berücksichtigt.

Dabei riskieren die Unternehmen nicht nur den Angriff auf die eigenen Systeme: Wird in einem Strafverfahren ermittelt, dass das Unternehmensnetzwerk für kriminelle Handlungen als Einwahlpunkt diente, ist in der Regel die Geschäftsleitung tatverdächtig und es wird gegen das Unternehmen ermittelt.

Sind Angriffe wirklich unerwartet?

Symantecs Security Threat Report (2. Halbjahr 2004) berichtet, dass vom Bekanntwerden einer Sicherheitslücke bis zum Auftauchen von Angriffsversuchen auf diese Lücke im Durchschnitt sechs Tage vergehen - eigentlich genug Zeit, um die von den Herstellern zur Verfügung gestellten Patches einzuspielen. Denn in der Regel wird dann eine Lücke bekannt, wenn der entsprechende Patch herausgegeben wird. Microsoft zufolge nimmt diese Zeitspanne ab - Administratoren müssen also immer früher informiert werden und noch schneller reagieren.

Risiko Mitarbeiter

83 Prozent der in der Ernst&Young-Studie befragten Unternehmen investieren das meiste Geld in die Anschaffung neuer Hard- und Software. Nur 29 Prozent gaben an, einen Großteil des Budgets in Sensibilisierungsmaßnahmen für Mitarbeiter zu investieren. Dabei wird häufig vergessen, dass IT-Sicherheit vor allem eines ist: Ein Prozess, kein Zustand. Häufig ist die Aufmerksamkeit und das Know-How der IT-Mitarbeiter gefordert, die auf entsprechende Sicherheitswarnungen zeitnah reagieren und die IT-Systeme sichern müssen.