Informationssicherheit scheitert meist am begrenzten Budget

Frankfurt am Main (ots) -

PwC-Studie zeigt: Deutsche Unternehmen mit durchschnittlich 78
IT-Ausfällen und -Problemen an dritter Stelle nach Schweden mit
(188) und Frankreich 175 / Größte Gefahrenquelle:
E-mail-Computerviren / Nicht einmal jede zweite deutsche Firma ist
auf Angriffe von Hackern und Viren ausreichend vorbereitet

Weltweit werden Unternehmen immer häufiger Opfer von
Computerangriffen auf ihre Informationstechnologie (IT). Effektive
Sicherheitsmaßnahmen scheitern jedoch häufig an begrenztem Budget (61
Prozent), Zeitmangel (44 Prozent), Personalmangel (41 Prozent),
geschultem Personal (34 Prozent) oder fehlender Autorität zur
Durchsetzung (28 Prozent) - und das, obwohl nur 27 Prozent der
Unternehmen keine finanziellen Einbußen durch Sicherheitsprobleme
verzeichnen. In Deutschland waren für die Hälfte der IT-Ausfälle
Hacker verantwortlich. Die eigenen Mitarbeiter der Unternehmen
verursachten 34 Prozent der IT-Probleme (weltweit: 32 Prozent),
gefolgt von ehemaligen Mitarbeitern mit 13 Prozent (weltweit: 19
Prozent). Zu diesen Ergebnissen kommt die neueste Studie "The Global
State of Information Security 2006" der Wirtschaftsprüfungs- und
Beratungsgesellschaft PricewaterhouseCoopers (PwC). Gemeinsam mit den
US-Magazinen CIO und CSO hat PwC weltweit 7.791 IT-Verantwortliche in
mehr als 50 Ländern zum Thema IT-Sicherheit befragt, in Deutschland
nahmen 350 Unternehmen an der Umfrage teil.

"Quantität statt Qualität"

"Auch wenn es Anzeichen dafür gibt, dass Informationssicherheit in
den Unternehmen einen gewissen Reifegrad erreicht, so bleibt noch
eine beachtliche Wegstrecke zu gehen", stellt Kurt Glasner, Partner
bei PwC fest. Noch immer investieren viele Unternehmen vorwiegend in
rein technische Komponenten wie Datensicherung und Firewalls. Danach
erst folgen Prozesskontinuität und Mitarbeitertraining auf der
Investitionsrangliste. Glasner: "Doch erst die Gesamtheit aus
Strategie, Prozessbetrachtung und eingesetzter Technologie versetzt
Unternehmen in die Lage, ein gutes und konsistentes Ergebnis zu
liefern. Genau dies wird unter den Begriffen Corporate Compliance
beziehungsweise IT-Governance immer stärker erwartet", sagt der
Experte für den Bereich Information Technology. Unternehmen, die sich
vor Angriffen auf ihre Informationstechnik durch Outsourcing schützen
wollten, müssen sorgfältig prüfen, welchem Provider sie ihre Systeme
und Anwendungen anvertrauen.

Größte Gefahrenquelle: E-mail-Computerviren

Mit 58 Prozent zählten böswillige Codes wie Computerviren, Würmer
und Pufferüberläufe wie im Vorjahr zu den häufigsten Waffen der
Hacker gegen deutsche Unternehmen (weltweit: 55 Prozent). Die meisten
deutschen Unternehmen (57 Prozent) werden von Viren angegriffen, die
mit E-mails verschickt werden. Dadurch wurden in erster Linie die
Netzwerke der Unternehmen geschädigt. 46 Prozent der IT-Netze von
deutschen Unternehmen verlangsamten sich oder fielen ganz aus;
weltweit waren es sogar 50 Prozent. In 33 Prozent der Fälle wurden
Unterlagen beschädigt oder gingen vollständig verloren (weltweit: 30
Prozent). 31 Prozent der befragten Unternehmen in Deutschland gaben
an, dass die Email-Programme und andere Anwendungen nach einem
Angriff auf die Informationstechnik ausgefallen sind. Im weltweiten
Vergleich waren es sogar 41 Prozent.

IT-Angriffe kommen die Unternehmen teuer zu stehen

Der Ausfall der Informationstechnik gefährdet nicht nur den guten
Ruf eines Unternehmens, sondern kostet auch viel Geld: Jedes vierte
Unternehmen in Deutschland (26 Prozent) beklagte Verluste von bis zu
500.000 US-Dollar, weltweit waren es 20 Prozent. Annähernd jede
fünfte betroffene Firma (18 Prozent) musste wegen der IT-Probleme
Ausfallzeiten von mehr als acht Stunden hinnehmen (weltweit: 21
Prozent). 27 Prozent der befragten Unternehmen gaben an, keine
finanziellen Einbußen erlitten zu haben (weltweit: 29 Prozent).
"Geradezu erschreckend ist die hohe Zahl der 'Unwissenden': 46
Prozent der Unternehmen antworteten, sie wüssten nicht, ob
finanzielle Schäden entstanden seien. Weltweit sind es sogar 50
Prozent", betont Glasner.

Nur jedes zweite Unternehmen auf den Notfall vorbereitet

Obwohl heutzutage jedes Unternehmen jederzeit von Hackern oder
Email-Viren attackiert werden kann, hat nicht einmal jedes zweite
deutsche Unternehmen (46 Prozent) einen Notfallplan ausgearbeitet
(weltweit: 50 Prozent). Zugleich hat jedes dritte deutsche
Unternehmen (36 Prozent) Besserung gelobt und angekündigt, im
kommenden Jahr einen Notfallplan entwickeln zu wollen (weltweit: 43
Prozent).

Deutschland europaweit an dritter Stelle

Deutsche Unternehmen liegen bei den IT-Ausfällen und -Problemen im
europäischen Vergleich mit durchschnittlich 78 Fällen an dritter
Stelle. Nur schwedische (188) und französische (175) Unternehmen
melden mehr Ausfälle.

Im weltweiten Vergleich fällt auf, dass Indien zwar wirtschaftlich
rasant aufgeholt hat, in IT-Sicherheitsfragen hinkt der Subkontinent
aber hinter den Industrieländern her. Während weltweit 56 Prozent der
Unternehmen ihre Daten an einem anderen Ort sichern, tun das erst 35
Prozent der indischen Unternehmen. Während lediglich 50 Prozent der
Unternehmen aus Indien Basissicherheitsmaßnahmen wie Passwörter
verwenden, sind es im Rest der Welt immerhin 73 Prozent. Dies ist
umso bedeutender, da zahlreiche US-amerikanische und europäische
Unternehmen indische IT-Ressourcen für den eigenen Regelbetrieb
nutzen.

Höhere Investitionen in IT-Sicherheit

Nachholbedarf haben die Unternehmen auch wenn es darum geht, die
verschiedenen internationalen Vorschriften - vor allem beim
Datenschutz - einzuhalten. Der Umfrage zufolge erfüllt die Hälfte (51
Prozent) der deutschen Unternehmen die Anforderungen der Europäischen
Datenschutzrichtlinie nicht. Die durch den Sarbanes-Oxley Act
verschärften Vorschriften halten 15 Prozent der befragten deutschen
Unternehmen nicht ein.

Die befragten Unternehmen werden sich der Folgen von Verstößen
gegen den Datenschutz jedoch weltweit allmählich bewusst und
integrieren immer öfter die Diebstahl- und IT-Sicherheit. 40 Prozent
der Diebstahl- und IT-Sicherheits-Manager geben an, dass sie an
dieselbe Führungskraft berichten (2005: 31 Prozent). Lediglich 25
Prozent gaben an, dass diese beiden Funktionen von verschiedenen
Vorgesetzten ausgeübt werden (2005: 47 Prozent).

Die Unternehmen haben ihre IT-Sicherheitsausgaben weltweit erhöht.
Ihr Anteil am IT-Budget ist auf 17 Prozent gestiegen (2005: 13
Prozent). Während aber künftig weltweit 46 Prozent der Unternehmen
ihre Ausgaben erhöhen wollen, sind es in Deutschland lediglich 34
Prozent.

Prioriätenwechsel auf der Agenda der IT-Führungskräfte

Die Prioritäten der IT-Verantwortlichen haben sich im Vergleich
zum Vorjahr deutlich zugunsten der IT-Sicherheit verlagert: Die
Datensicherung steht im nächsten Jahr bei 63 Prozent der deutschen
Unternehmen (weltweit: 52 Prozent) auf der Prioritätenliste ganz
oben. An zweiter Stelle folgen mit 56 Prozent Netzwerk-Firewalls
(weltweit: 48 Prozent) und auf dem dritten Rang mit 51 Prozent
(weltweit: 45 Prozent) Firewalls für Applikationen. Im Jahr 2005
konzentrierten sich die befragten Unternehmen vor allem auf die
Notfallwiederherstellung und Prozesskontinuität. Dann folgte die
Steigerung des Mitarbeiterbewusstseins / Trainingsprogramme. Die
Datensicherung lag damals lediglich auf Platz drei.

Deutsche Unternehmen setzen auf Schwachstellenberichte und Log
Files

Mehr als die Hälfte der deutschen Unternehmen (59 Prozent)
kontrolliert und überwacht seine IT-Sicherheitsdienste mit Hilfe von
Schwachstellenberichten und Protokoll-Dateien (Log Files). Und ebenso
viele Unternehmen achten darauf, dass die Sicherheitsrichtlinien
befolgt werden. 43 Prozent der befragten deutschen Unternehmen haben
jedoch keine umfassende Sicherheitsstrategie, weltweit sind es nur 37
Prozent. Mehr als ein Drittel (37 Prozent) der befragten Unternehmen
in Deutschland arbeiten gegenwärtig an einer umfassenden
IT-Sicherheitsstrategie, weltweit tun dies lediglich 26 Prozent.

Finanzdienstleister im Branchenvergleich an erster Stelle

Ein weltweiter Vergleich der Branchen offenbart, dass
Finanzdienstleister in Sicherheitsfragen in Führung liegen. 75
Prozent der befragten Banken und Versicherungen gaben an, sie
beschäftigten einen Sicherheitsbeauftragten (Branchendurchschnitt: 43
Prozent). Dagegen hat sich die Sicherheit von Laptops und
Mobiltelefonen trotz spektakulärer Missbrauchsfälle im Vergleich zum
Vorjahr (40 Prozent) nicht verbessert. Die Pharmabranche hat
Fortschritte bei der Verschlüsselung von Daten (2006: 56 Prozent -
2005: 53 Prozent) und sicheren Internettransaktionen (2006: 59
Prozent - 2005: 54 Prozent) erzielt. Interessanterweise verschlüsselt
gerade einmal jedes zweite Unternehmen (52 Prozent) aus der
Technologiebranche seine Daten. Die Sicherheitsausgaben kräftig
erhöht haben Regierungen und staatliche kontrollierte Unternehmen.
Heute werden dafür weltweit 15,2 Prozent des IT-Budgets aufgewendet,
das ist fast doppelt soviel wie vor zwei Jahren.

Weitere Informationen zur Studie "The Global State of Information
Security 2006" finden Sie online unter:
www.cio.com/archive/091506/security_survey.html

Hinweis für die Redaktion:

Die PricewaterhouseCoopers AG Wirtschaftsprüfungsgesellschaft ist
in Deutschland mit 8.000 Mitarbeitern und einem Umsatzvolumen von
rund 1,1 Milliarden Euro eine der führenden Wirtschaftsprüfungs- und
Beratungsgesellschaften. An 28 Standorten arbeiten Experten für
nationale und internationale Mandanten jeder Größe. PwC bietet
Dienstleistungen an in den Bereichen Wirtschaftsprüfung und
prüfungsnahe Dienstleistungen (Assurance), Steuerberatung (Tax) sowie
in den Bereichen Transaktions-, Prozess- und Krisenberatung
(Advisory).

Originaltext: PwC PriceWaterhouseCoopers
Digitale Pressemappe: http://presseportal.de/story.htx?firmaid=8664
Pressemappe via RSS : feed://presseportal.de/rss/pm_8664.rss2

Weitere Informationen erhalten Sie bei:

Dr. Kurt Glasner
PricewaterhouseCoopers AG WPG
Tel.: (0201) 438 - 11 10
E-Mail: kurt.glasner@de.pwc.com

Sandra Otte
PricewaterhouseCoopers AG WPG
Corporate Communications / Presse
Tel.: (069) 95 85 - 15 64
E-Mail: sandra.otte@de.pwc.com