Security im Unternehmen: unterschätztes Risiko
Die Zahl der angebotenen Lösungen im Bereich Unternehmenssicherheit ist nahezu unüberschaubar. Wissen die IT-Verantwortlichen wirklich, was ihr Unternehmen braucht? Eine Umfrage der FH Luzern geht der Frage auf den Grund.
Eine Umfrage unter IT-Leitern zeigt, wo die Schwerpunkte bei der IT-Sicherheit liegen» Von , 23.06.2009 16:17. Letztes Update, 23.06.2009 16:23.
Stephan Wegmüller, Dipl. Ing. FH Informatik (MAS Informationssicherheit Hochschule Luzern), schrieb seine Thesis bei Prof. Carlos Rieder über Evaluation und Umsetzung von IT-Sicherheitsdienstleistungen. Der Autor arbeitet heute als Systemingenieur
Der Weg zur sicheren Unternehmens-IT führt durch einen Dschungel von verschiedenen Möglichkeiten: angefangen bei der Installation einer Firewall über einen Netzwerkzugangsschutz bis zu detaillierten Security Audits und dem Aufbau eines Information-Security-Management-Systems (ISMS). Die Suche nach der im Einzelfall bestmöglichen Lösung wird auch durch Analysen und Empfehlungen verschiedenster Stellen nicht einfacher. Über die aktuellsten Gefahren informieren etwa die Lageberichte öffentlicher Meldestellen wie der eidgenössischen Melde- und Analysestelle Informationssicherung (Melani) oder die Mitteilungen des deutschen Bundesamtes für Sicherheit in der Informationstechnik (BSI). Auf der anderen Seite werben Hersteller von Sicherheitsprodukten mit einzigartigen Nutzungsmöglichkeiten. Unternehmen, die für die Implementierung und Pflege der richtigen Lösung keine eigenen Ressourcen haben oder keine dafür aufwenden wollen, greifen deshalb gerne auf die Angebote von spezialisierten Sicherheitsdienstleistern zurück.
Ermitteln, was gebraucht wird
Um aus der Flut von Informationen die passende Sicherheitsdienstleistung auswählen zu können, müssen sich die Unternehmen aber im Klaren darüber sein, was sie eigentlich brauchen. Dieser Frage ging eine mehrstündige Befragung auf den Grund, die im Rahmen einer Masterarbeit an der Fachhochschule Luzern bei zehn ausgewählten Schweizer Unternehmen durchgeführt wurde. Ziel war eine Bedarfsanalyse im Bereich Informationssicherheit. Die befragten Unternehmen sind vorab in den Bereichen Produktion, Gesundheit, Verwaltung, Bau und Einzelhandel angesiedelt und beschäftigen zwischen 50 und 3000 Personen. Ausgenommen waren explizit die Finanz- und die Versicherungsbranche. Die befragten Personen nehmen vorwiegend die Funktion des IT-Leiters wahr.
Es fehlt am Risikobewusstsein
Als Erstes galt es herauszufinden, inwiefern sich die Befragten überhaupt eines Sicherheitsrisikos bewusst sind. Nur etwa ein Drittel der Unternehmen hat in den letzten zwei Jahren eine Risikoanalyse durchgeführt. Nahezu die Hälfte der Befragten gaben an, dass bisher keine Analyse durchgeführt wurde - zumindest ist den befragten IT-Leitern davon nichts bekannt.
Die Umfrage förderte auch zutage, dass die Sicherheitsrisiken einem Grossteil der Unternehmen entweder zum heutigen Zeitpunkt (noch) nicht bewusst sind oder dass sie sich zumindest nicht auf eine konkrete Massnahme festlegen wollen. Das fehlende Bewusstsein soll folgendes Beispiel verdeutlichen: Bei einem der befragten Unternehmen befindet sich die zentrale Datensicherung bzw. Archivierung in der näheren Umgebung des Rechenzentrums. Ein Brandfall im Rechenzentrum und in der angrenzenden Datenarchivierungs-Zone würde es unmöglich machen, die Unternehmensdaten wiederherzustellen, das Unternehmen wäre in seiner Existenz gefährdet. Es ist mehr als unwahrscheinlich, dass dieses Risiko durch die Geschäftsleitung bewusst getragen wird.
KOMMENTARE
KOMMENTAR SCHREIBEN