Nicht erst seit dem 11. September kommt der IT-Sicherheit im Unternehmen grösste Bedeutung zu. Entsprechend hoch sind auch die sicherheitsbezogenen IT-Ausgaben in den Schweizer Firmen: Im Mittel werden 14 Prozent des IT-Budgets für Sicherheitsbelange ausgegeben. Zu diesem Ergebnis kommt eine InfoWeek-Umfrage, die online im März und April diesen Jahres durchgeführt wurde.
Regelmässige Angriffe
Die Ausgaben kommen nicht von ungefähr: Immerhin gaben 63 Prozent an, in den letzten 12 Monaten Opfer einer Attacke geworden zu sein, wobei die Angriffe fast immer von ausserhalb kamen – nur vereinzelt werden Mitarbeiter als Täter ausgemacht. Bei den attackierten Unternehmen wurde in jedem achten Fall der Schaden als «beträchtlich» bezeichnet, während der
Grossteil der Angriffe nur minimen (38%) oder gar keinen Schaden anrichtete (49%).
Trotzdem zeigt sich die InfoWeek-Leserschaft zuversichtlich, was die künftige Sicherheit anbelangt: Zwei von drei Umfrageteilnehmern sind der Ansicht, dass die Unternehmens-IT künftig sicherer wird, und nur gerade 15 Prozent befürchten eine unsicherere Zukunft.
Angesichts der Bedrohung setzen die Firmen auf adäquate Gegenmassnahmen. Kaum ein Unternehmen verzichtet auf den Einsatz von Antiviren-Software (98%) sowie einer Firewall (97%). Immerhin 60 Prozent führen zudem auch eine Intrusion Detection durch.
Kampf den Viren
Virenkiller kommen in den Schweizer Firmen primär auf den Arbeitsstationen zum Einsatz, 92 Prozent der Befragten bekannten sich zu diesem Vorgehen. Doch auch auf Fileservern (83%) sowie Mailservern (75%) sind Antiviren-Lösungen gang und gäbe.
Wer aber glaubt, dass Viren keine Chance haben, sofern ein Gegenmittel installiert wurde, liegt völlig falsch: 44 Prozent der Umfrageteilnehmer erklären, sie seien trotz Virenkillers Opfer eines Angriffs geworden, wobei in jeder fünften betroffenen Firma beträchtlicher Schaden entstanden ist.
Dass die Viren trotz Schutzmassnahme in die Unternehmens-IT eindringen konnten, dürfte allerdings kaum veralteten Virenbibliotheken zuzuschreiben sein, zumal 87 Prozent der Befragten erklären, sie würden ihre Software entweder automatisch oder täglich auf Vordermann bringen. Die verbleibenden 13 Prozent besorgen sich zumindest im Wochentakt ein Update.
Elementar: die Policy
Angesichts der Tatsache, dass unzählige Angriffe durch Fehlverhalten von Mitarbeitern überhaupt erst ermöglicht werden, erstaunt es nicht, dass 82 Prozent der Unternehmen in einer Policy regeln, was den Angestellten erlaubt ist und was nicht.
Allerdings muss der Nutzen einer Policy relativiert werden, denn in 69 Prozent der befragten Firmen werden diese Richtlinien gar nicht oder nur teilweise befolgt. Mit ein Grund dafür ist, dass die Policy meist recht lasch kontrolliert wird. Nur 52 Prozent der Befragten geben an, dass entweder Stichproben oder regelmässige Kontrollen durchgeführt werden, ein Viertel weiss nicht, ob derartige Massnahmen erfolgt sind.
An erster Stelle der verbotenen Aktivitäten stehen dabei MP3-Downloads (63%), gefolgt von Spielen (61%) sowie Software-Downloads (47%). Hingegen werden private Surftouren nur in 12 Prozent der Fälle untersagt.
Ist eine Policy erst einmal definiert, finden nicht selten über Jahre hinweg keine Anpassungen statt: Ein Fünftel der Umfrageteilnehmer gibt an, dass die Policy so gut wie überhaupt nicht auf den neuesten Stand gebracht wird. Bei fast ebenso vielen soll dies zumindest einmal im Jahr geschehen. In jeder vierten Firma hingegen findet monatlich oder zumindest quartalsweise ein Überdenken der Bestimmungen statt.
Wird aber gegen die Policy verstossen, führt dies nicht selten zu harten Sanktionen: Immerhin 23 der Umfrageteilnehmer erklären, es seien deswegen schon Entlassungen ausgesprochen worden.
Lücken in der Policy
Ebenfalls erstaunlich: Die Policys in den Schweizer Unternehmen weisen hinsichtlich der Sicherheit teilweise gravierende Lücken auf. So wird das Klicken auf exe- und vbs-Dateien in Mails nur in 38 Prozent der Fälle untersagt. Gerade diese schlichte Massnahme könnte bei Viren und Trojanern aber die Tür vor der Nase zuschlagen. Hingegen finden sich in zwei von drei Firmen Bestimmungen über die Passwortvergabe, womit etwa eine minimale Länge, das Einschliessen von Zahlen und/oder Sonderzeichen oder der Gültigkeitszeitraum definiert wird.
René Dubach, InfoWeek
Dieser Artikel erschien im InfoWeek-Special «Networking & Security», der gegenwärtig an den Zeitschriftenverkaufsstellen erhältlich ist.Auf 66 Seiten berichtet die Sonderausgabe umfassend über aktuelle Entwicklungen im Bereich Netzwerke und Sicherheit, unter anderem mit den Themen:
Interview: Conextrade CEO Thomas Flatt über Sicherheit in B2B-Plattformen
Inside: Grossalarm im Virenlabor! Wie schnell reagiert Symantec?