Sandra Ines Gerbich Redakteurin IT-Security, Netzwerk- und Systemmanagement [email protected] IT-Security 2002: Blind oder blauäugig?

Sandra Ines GerbichRedakteurin IT-Security, Netzwerk-und [email protected]

IT-Security 2002:IT-Security 2002:Blind oder blauäugig?Blind oder blauäugig?

1. Daten zur Studie

2. Ländervergleich

Deutschland im weltweiten Vergleich und im Vergleich zu den USA

3. Deutschland

Die größten Sicherheitsverletzungen

Sicherheitsmaßnahmen

Hauptbarrieren gegen effiziente IT-Sicherheit

Blick in die Zukunft

Handlungsempfehlungen

AgendaAgenda

1. 1. Daten zur StudieDaten zur Studie

2. Ländervergleich


3. Deutschland






AgendaAgenda

Methode: Elektronische (Homepage, E-Mail) undschriftliche Interviews per Post

Stichprobe: 8188 Antworten von IT-Managern und Sicherheits-verantwortlichen aus mehr als 50 Ländern,davon 828 Antworten aus Deutschland

Themen: Über 40 Fragen aus allen Bereichen derInformationssicherheit

Befragung: PricewaterhouseCoopers (USA) und Informationweek

Befragungszeitraum: April bis Juni 2002

Daten zur Studie:Daten zur Studie:ErhebungsdesignErhebungsdesign

Ausführliche Grafiken, Kommentierung und Tabellen zu folgenden Themen:Ausführliche Grafiken, Kommentierung und Tabellen zu folgenden Themen:

1.1. Stellenwert von IT-Security im UnternehmenStellenwert von IT-Security im Unternehmen 2.2. Wichtigste Schritte zur Absicherung gegen SicherheitsverstößeWichtigste Schritte zur Absicherung gegen Sicherheitsverstöße 3. 3. Wichtigste Maßnahmen zum Schutz von KundendatenWichtigste Maßnahmen zum Schutz von Kundendaten 4.4. Wichtigste Maßnahmen zum Schutz von Personen und DatenWichtigste Maßnahmen zum Schutz von Personen und Daten 5.5. Wichtigste eingesetzte Internet- / UnternehmensanwendungenWichtigste eingesetzte Internet- / Unternehmensanwendungen 6.6. Wichtigste gehostete Internet- / UnternehmensanwendungenWichtigste gehostete Internet- / Unternehmensanwendungen 7.7. Einsatz von drahtloser KommunikationEinsatz von drahtloser Kommunikation 8.8. Klassifizierung von hochsensitiven Dateien / DatensätzenKlassifizierung von hochsensitiven Dateien / Datensätzen 9.9. Verwendung von Access-Control-Software zum Schutz der InformationssystemeVerwendung von Access-Control-Software zum Schutz der Informationssysteme10.10. Verwendung von Kryptographie zum Schutz der InformationssystemeVerwendung von Kryptographie zum Schutz der Informationssysteme11.11. Verwendung von sonstigen Tools zum Schutz der InformationssystemeVerwendung von sonstigen Tools zum Schutz der Informationssysteme12.12. Wichtigste geplante strategische SicherheitsmaßnahmenWichtigste geplante strategische Sicherheitsmaßnahmen13.13. Wichtigste geplante taktische SicherheitsmaßnahmenWichtigste geplante taktische Sicherheitsmaßnahmen14. 14. Wichtigste geplante organisatorische SicherheitsmaßnahmenWichtigste geplante organisatorische Sicherheitsmaßnahmen15.15. Wichtigste vorhandene SicherheitsrichtlinienWichtigste vorhandene Sicherheitsrichtlinien16.16. Verantwortlichkeit für SicherheitsrichtlinienVerantwortlichkeit für Sicherheitsrichtlinien17.17. Verantwortlichkeit für das IT-Security-BudgetVerantwortlichkeit für das IT-Security-Budget18.18. Ausrichtung der Sicherheitsrichtlinien auf UnternehmenszieleAusrichtung der Sicherheitsrichtlinien auf Unternehmensziele19.19. Ausrichtung der Sicherheitsausgaben auf UnternehmenszieleAusrichtung der Sicherheitsausgaben auf Unternehmensziele20.20. Kenntnis der SicherheitsrichtlinienKenntnis der Sicherheitsrichtlinien21.21. Überprüfung / Beurteilung der Sicherheitsrichtlinien auf ihre EffektivitätÜberprüfung / Beurteilung der Sicherheitsrichtlinien auf ihre Effektivität22.22. Hauptbarrieren für die Effektivität von SicherheitHauptbarrieren für die Effektivität von Sicherheit23.23. Richtlinien für Updates von VirusscannernRichtlinien für Updates von Virusscannern24.24. Richtlinien für Software-SicherheitspatchesRichtlinien für Software-Sicherheitspatches25.25. Anzahl der Sicherheitsverstöße im letzten JahrAnzahl der Sicherheitsverstöße im letzten Jahr26.26. Art der wichtigsten SicherheitsverstößeArt der wichtigsten Sicherheitsverstöße27.27. Vermutete Verursacher der SicherheitsverstößeVermutete Verursacher der Sicherheitsverstöße28.28. Hauptsächlich verwendete Angriffsmethoden bei SicherheitsverstößenHauptsächlich verwendete Angriffsmethoden bei Sicherheitsverstößen29.29. Wichtigste Auswirkungen der AngriffeWichtigste Auswirkungen der Angriffe30.30. Informationsquelle über die AngriffeInformationsquelle über die Angriffe31.31. Höhe der Ausfallzeit nach AngriffenHöhe der Ausfallzeit nach Angriffen32.32. Geschätzter finanzieller Schaden durch AngriffeGeschätzter finanzieller Schaden durch Angriffe33.33. Benachrichtigte Instanzen nach dem AngriffBenachrichtigte Instanzen nach dem Angriff34.34. Zweck der Überwachung von KommunikationseinrichtungenZweck der Überwachung von Kommunikationseinrichtungen35.35. Einbindung der Informationssicherheit in das IT-GesamtbudgetEinbindung der Informationssicherheit in das IT-Gesamtbudget

Daten zur Studie:Daten zur Studie:Der Inhalt (1)Der Inhalt (1)

36.36. Prozentualer Anteil des IT-Security-Budgets am IT-BudgetProzentualer Anteil des IT-Security-Budgets am IT-Budget37.37. Gründe für SicherheitsinvestitionenGründe für Sicherheitsinvestitionen38.38. Erfolg des letzten Sicherheitsprojekts: DienstleistungenErfolg des letzten Sicherheitsprojekts: Dienstleistungen39. 39. Erfolg des letzten Sicherheitsprojekts: ProdukteErfolg des letzten Sicherheitsprojekts: Produkte40.40. Höhe des IT-Security-BugdetsHöhe des IT-Security-Bugdets41.41. Entwicklung der Ausgaben für DatensicherheitEntwicklung der Ausgaben für Datensicherheit42.42. Höhe des IT-GesamtbudgetsHöhe des IT-Gesamtbudgets43.43. Anzahl der Mitarbeiter für Informationssicherheit: AngestellteAnzahl der Mitarbeiter für Informationssicherheit: Angestellte44.44. Anzahl der Mitarbeiter für Informationssicherheit: BeraterAnzahl der Mitarbeiter für Informationssicherheit: Berater45.45. Verantwortlichkeit für InformationssicherheitVerantwortlichkeit für Informationssicherheit46.46. Unternehmen nach BranchenUnternehmen nach Branchen47.47. UnternehmensgrößenUnternehmensgrößen48.48. Unternehmen nach JahresumsatzUnternehmen nach Jahresumsatz49.49. Berufsbezeichnung der BefragtenBerufsbezeichnung der Befragten50.50. Teilnehmerzahl nach LändernTeilnehmerzahl nach Ländern

Daten zur Studie:Daten zur Studie:Der Inhalt (2)Der Inhalt (2)

Die komplette Studie enthält:Die komplette Studie enthält: 1 Studienband mit den Ergebnissen für Deutschland mit1 Studienband mit den Ergebnissen für Deutschland mit

mehr als 60 Grafiken und Kommentarmehr als 60 Grafiken und Kommentar

1 CD-Rom mit dem Studienband als pdf-file; 1 CD-Rom mit dem Studienband als pdf-file; alle ca. 250 Grafiken mit Darstellungen nach Branchen,alle ca. 250 Grafiken mit Darstellungen nach Branchen,Unternehmensgrößen etc. als pdf-file;Unternehmensgrößen etc. als pdf-file;umfangreicher Tabellenteil mit insgesamt 12 Ergebnisaufbrüchenumfangreicher Tabellenteil mit insgesamt 12 Ergebnisaufbrüchenfür Deutschland sowie einem Aufbruch nach Ländernfür Deutschland sowie einem Aufbruch nach Ländern

Kostenpunkt der Gesamtstudie:Kostenpunkt der Gesamtstudie:Euro 990,-- zzgl. MwSt.Euro 990,-- zzgl. MwSt.

Teilergebnisse auf Anfrage.Teilergebnisse auf Anfrage.

3095

3516

828

Daten zur Studie:Daten zur Studie:Teilnehmer nach LändernTeilnehmer nach Ländern

USA

Europa

Deutschland

Kanada 256

Südamerika 423

Asien 723

Australien / Neuseeland 147Sonstige 28

Quelle: IT-Security 2002; Absolute Werte

1 bis 100 Mitarbeiter


1.001 bis 5.000 Mitarbeiter


501 bis 1.000 Mitarbeiter

5.001 Mitarbeiter und mehr

29

13

10

9

17

21

Daten zur Studie:Daten zur Studie:Teilnehmer nach UnternehmensgrößenTeilnehmer nach Unternehmensgrößen

24

20

16

12

15

11

Weltweit Deutschland

Quelle: IT-Security 2002; Prozentwerte

Dienstleistungen / Services

Industrie / Produktion

Öffentliche Verwaltung

IT

Finanzen / Versicherungen

Schulen / Hochschulen

16

16

15

9

8

7

4

3

22

Daten zur Studie:Daten zur Studie:Teilnehmer nach BranchenTeilnehmer nach Branchen

Weltweit Deutschland11

14

24

6

5

6

3

7

25

Medizin

Maschinenbau

Sonstige


1. Daten zur Studie

2. 2. LändervergleichLändervergleich

Deutschland im weltweiten Vergleich und im Vergleich zu den USA Deutschland im weltweiten Vergleich und im Vergleich zu den USA

3. Deutschland






AgendaAgenda

46

32

30

15

14

32

58

63

51

27

28

14

44

22

23

19

53

53

Frage: Welche Schritte hat Ihr Unternehmen seit dem 11. September unternommen, um sich gegenTerrorismus und andere Verstöße gegen die Informationssicherheit abzusichern?

Aktualisierung von Richtlinien / Verfahren /technischen Standards

Aufstellung / Aktualisierung von Plänen fürBusiness Continuity / Disaster Recovery

Erhöhung der Ausgaben für den Schutzvon geistigem Eigentum

Erhöhung der Wahrnehmung von Richtlinien /Verfahren / techn. Standards bei Mitarbeitern

Erhöhung der Ausgaben für den Schutzvon materiellem Eigentum

Keine Schritte unternommen

Ländervergleich:Ländervergleich:Aktuelle Maßnahmen gegen SicherheitsverstößeAktuelle Maßnahmen gegen Sicherheitsverstöße

DeutschlandUSAWeltweit Quelle: IT-Security 2002; Prozentwerte

43

37

33

27

69

51

6

37

43

11

13

67

11

48

67

36

35

11

Information der Mitarbeiter überDatenschutz- / Verhaltensrichtlinien

Einrichtung der Position einesDatenschutzbeauftragten

Überprüfung der Datenschutz-Policymindestens einmal im Jahr

Sichere Internet-Transaktionen

Verschlüsselung des Informationsaustauschs

Keine

Frage: Welche der folgenden Maßnahmen zum Schutz von Kundendaten hat Ihr Unternehmen ergriffen?

Ländervergleich:Ländervergleich:Aktuelle Maßnahmen zum Schutz von KundendatenAktuelle Maßnahmen zum Schutz von Kundendaten


77

70

45

23

3

80

79

53

57

41

23

18

54

13

88

18

76

80

36

51

22

Antiviren-Software

Automatische Datensicherung

Intrusion-Detection-Systeme

Installation von Application-Firewalls

Virtual Private Networks (VPN)

Kampagne zur Steigerung desSicherheitsbewußtseins bei Mitarbeitern

Frage: Welche der folgenden Tools verwenden Sie gegenwärtig zum Schutz der Informationssysteme?

Ländervergleich:Ländervergleich:Generelle Tools zum Schutz der InformationsystemeGenerelle Tools zum Schutz der Informationsysteme

Vulnerability Assessment Tools


27

42

49

48

34

35

10

116

6

15

19

Nicht bekannt / keine Angabe

MehrEtwa gleichWeniger

Deutschland

Großbritannien

USA

Ländervergleich:Ländervergleich:Entwicklung der Ausgaben für DatensicherheitEntwicklung der Ausgaben für Datensicherheit

Frage: Wie viel werden Sie für Datensicherheit im Jahr 2002 im Vergleich zu 2001 ausgeben?


Ländervergleich:Ländervergleich:ZusammenfassungZusammenfassung

11. September 2001 in Deutschland kaum ein Anlass, zusätzliche

Sicherheitsmaßnahmen zu treffen

Psychologische Betroffenheit in den USA stärker

Unter dem Druck der Gesetzgebung hat Deutschland die Position eines

Datenschutzbeauftragten eingerichtet

Deutschland kann technologisch mithalten, nur Investitionen in Intrusion

Detection verhalten

Im Vergleich zu den USA und weltweit in Deutschland Sicherheitsbudget

stagnierend oder rückläufig

1. Daten zur Studie

2. Ländervergleich


3. 3. DeutschlandDeutschland

Die größten SicherheitsverletzungenDie größten Sicherheitsverletzungen





AgendaAgenda

Frage: Um welche Art von Verstößen bzw. Spionagefällen handelte es sich hierbei?

42

11

11

10

5

43

Deutschland - Die größten Sicherheitsverletzungen:Deutschland - Die größten Sicherheitsverletzungen:Art der Sicherheitsverstöße - GesamtArt der Sicherheitsverstöße - Gesamt

Computerviren / Würmer / Trojanische Pferde

Bombardierung mit verbotenem Material

Manipulation von Webscripting-Sprachen

Telekommunikationszugriffe /unautorisierte Zugriffe

(Distributed) Denial-of-Service-Attacken

Keine Verstöße


Kunden

Ehemalige Mitarbeiter

Lieferanten

42

32

21

11

6

5

4

21

Wettbewerber

Nicht bekannt

Deutschland - Die größten Sicherheitsverletzungen:Deutschland - Die größten Sicherheitsverletzungen:Verursacher von Sicherheitsverstößen - GesamtVerursacher von Sicherheitsverstößen - Gesamt

Frage: Wen haben Sie als Verursacher dieser Verstöße bzw. Spionagefälle im letzten Jahr in Verdacht?

Computerhacker / Terroristen

Nicht autorisierte Benutzer / Mitarbeiter

Autorisierte Benutzer / Mitarbeiter


Frage: Welche Angriffsmethoden wurden dabei hauptsächlich verwendet?

Ausnutzung einer bekanntenSchwachstelle im Betriebssystem

Unbeabsichtigte Fehlkonfiguration /menschliches Versehen

Missbrauch gültiger Benutzerkonten /Nutzungsgenehmigungen

Ausnutzung bekannter Anwendungen

Externe Denial-of-Service-Attacken

Ausnutzung mangelhafterZugriffskontrollmechanismen

36

28

25

21

19

14

14

Deutschland - Die größten Sicherheitsverletzungen:Deutschland - Die größten Sicherheitsverletzungen:Angriffsmethoden bei Sicherheitsverstößen - GesamtAngriffsmethoden bei Sicherheitsverstößen - Gesamt


Ausnutzung einer unbekanntenSchwachstelle im Betriebssystem

Analyse von Server- bzw. Firewall-Protokollen / -Dateien


Warnung durch Kunden / Lieferanten

Warnung durch Kollegen

Daten- bzw. Materialschäden

Alarmierung durch Serviceprovider

68

28

22

16

12

10


Frage: Wie haben Sie von diesen Angriffen erfahren?

Deutschland - Die größten Sicherheitsverletzungen:Deutschland - Die größten Sicherheitsverletzungen:Informationsquelle über die Angriffe - GesamtInformationsquelle über die Angriffe - Gesamt

Deutschland - Die größten Sicherheitsverletzungen:Deutschland - Die größten Sicherheitsverletzungen:ZusammenfassungZusammenfassung

Computerviren immer noch Bedrohung Nummer 1; jedes zweite Unternehmen

betroffen

Angriffe kommen immer noch in hohem Maß von außen; Angriffe von innen

resultieren oft aus unbeabsichtigtem Fehlverhalten von Mitarbeitern

Bekannte Sicherheitslücken in Betriebssystemen und Software problematisch

Intrusion-Detection-Systeme spielen bei der Erkennung von Angriffen nur

eine untergeordnete Rolle

Sicherheitsverletzungen werden nicht kommuniziert

1. Daten zur Studie

2. Ländervergleich




Sicherheitsmaßnahmen Sicherheitsmaßnahmen




AgendaAgenda

79

59

24

21

16

10

1

Basis-Benutzerpasswörter

Zugriffkontrollsoftware für Mini- / Großrechner

Software für PC-Zugriffskontrolle

Einmal-Passwörter / Token / Smartcards

Biometrische Benutzer-Authentifizierung

Single sign-on Software

Deutschland - Sicherheitsmaßnahmen:Deutschland - Sicherheitsmaßnahmen:Verwendung von Access-Control-Software - GesamtVerwendung von Access-Control-Software - Gesamt



Mehrfach-Logons und -Passwörter

Secure Sockets Layer (SSL)

Sonstige Verschlüsselungssoftware

PKI mit interner Certificate Authority

Pretty Good Privacy (PGP)

S/MIME

PKI mit externer Certificate Authority

36

25

19

13

9

4

Deutschland - Sicherheitsmaßnahmen:Deutschland - Sicherheitsmaßnahmen:Verwendung von Kryptographie - GesamtVerwendung von Kryptographie - Gesamt



Antiviren-Software

Automatische Datensicherung

Installation von Application-Firewalls

Virtual Private Networks (VPN)

88

77

70

45

27

26

23

Deutschland - Sicherheitsmaßnahmen:Deutschland - Sicherheitsmaßnahmen:Verwendung von sonstigen Tools - GesamtVerwendung von sonstigen Tools - Gesamt


Installation von Netzwerk-Firewalls

Software zur Überwachung derInternetnutzung von Mitarbeitern



Regelmäßige Updates

Test vor der Implementierung

Durchführung von Updates etc. durchServiceprovider

Automatischer Download

Download als Reaktion auf einen Vorfallbzw. eine Meldung

66

61

30

16

8

3Keine davon

Frage: Welche Richtlinien existieren in Ihrem Unternehmen in Bezug auf die Implementierung vonUpdates und Ankündigung neuer Produkte?


Deutschland - Sicherheitsmaßnahmen:Deutschland - Sicherheitsmaßnahmen:Richtlinien für Updates von Virusscannern - GesamtRichtlinien für Updates von Virusscannern - Gesamt

Deutschland - Sicherheitsmaßnahmen:Deutschland - Sicherheitsmaßnahmen:ZusammenfassungZusammenfassung

Webbasierende Anwendungen erst ab Unternehmen mit mehr als 100

Mitarbeitern; kaum Sicherheitsinfrastruktur

Biometrie ist kein Thema

Investitionen in PKI verhalten, nur für Unternehmen mit mehr als 5000

Mitarbeitern interessant

Unternehmen haben Relevanz regelmäßiger Updates von Antivirensoftware

und Installation von Patches erkannt

1. Daten zur Studie

2. Ländervergleich





Hauptbarrieren gegen effiziente IT-SicherheitHauptbarrieren gegen effiziente IT-Sicherheit



AgendaAgenda

Zeitmangel

Komplexität der Technologie

Mangel an qualifiziertem Personal

Budget

72

55

32

24

16

14

10

Frage: Welche der folgenden Probleme behindern die Effektivität der Sicherheit in Ihrem Unternehmenam meisten?

Deutschland - Hauptbarrieren gegen effiziente IT-Sicherheit:Deutschland - Hauptbarrieren gegen effiziente IT-Sicherheit:Hindernisse die IT-Sicherheit entgegen stehen - GesamtHindernisse die IT-Sicherheit entgegen stehen - Gesamt

Mangel an ausgereiften Tools / Technologien

Mangelnde generelle Awareness

Schlecht definierte Policy


Bis zu 10.000$

50.001$ bis 100.000$

500.001$ bis 1.000.000$

10.001$ bis 50.000$

100.001$ bis 500.000$

1.000.001$ und mehr

Nicht bekannt

30

22

11

11

4

6

16

Frage: Wie hoch ist schätzungsweise das Gesamtbudget Ihres Unternehmens für den BereichInformationssicherheit im Jahr 2002, also für Hardware, Software, Gehälter, Berater undsonstige Ausgaben?

Deutschland - Hauptbarrieren gegen effiziente IT-Sicherheit:Deutschland - Hauptbarrieren gegen effiziente IT-Sicherheit:Höhe des IT-Security-Budgets - GesamtHöhe des IT-Security-Budgets - Gesamt


Deutschland - Hauptbarrieren gegen effiziente IT-Sicherheit:Deutschland - Hauptbarrieren gegen effiziente IT-Sicherheit:ZusammenfassungZusammenfassung

Unternehmen nennen Zeitmangel als größtes Sicherheitshindernis

Knappe Budgets weichen bestehende Sicherheitsinfrastrukturen auf

Informationssicherheit ist noch nicht überall Chefsache und wird noch nicht

über alle Hierarchieebenen hinweg getragen

Fehlende / mangelhafte Security Policy wird nicht als Sicherheitshindernis

gesehen

Nur wenige Unternehmen haben Mitarbeiter angestellt, die sich ausschließlich

mit Informationssicherheit beschäftigen

1. Daten zur Studie

2. Ländervergleich






Blick in die ZukunftBlick in die Zukunft


AgendaAgenda

80

59

44

33

26

Verbesserung der Netzwerksicherheit

Entwicklung einer Sicherheitsarchitektur

Gewährleistung des Engagements aufFührungsebene

Blocken von unbefugtem Zugriff

Entwicklung von Strategien für denInformationsschutz

Frage: Auf welche der folgenden strategischen Sicherheitsmaßnahmen wird sich Ihr Unternehmen inden nächsten 12 Monaten besonders konzentrieren?

Deutschland - Blick in die Zukunft:Deutschland - Blick in die Zukunft:Geplante strategische Sicherheitsmaßnahmen - GesamtGeplante strategische Sicherheitsmaßnahmen - Gesamt


56

54

54

51

46

44

25

25

Abwehr von Virusrisiken / feindlichen Codes

Installation von Netzwerk-Firewalls

Sicherer Remote Access

Verbesserung der Betriebssystem-Sicherheit

Bessere Zugriffskontrollen

Verbesserung der Anwendungssicherheit

Überwachung der Benutzer bezüglichEinhaltung der Richtlinien

Sichere Webbrowser


Frage: Auf welche der folgenden taktischen Sicherheitsmaßnahmen wird sich Ihr Unternehmen inden nächsten 12 Monaten besonders konzentrieren?

Deutschland - Blick in die Zukunft:Deutschland - Blick in die Zukunft:Geplante taktische Sicherheitsmaßnahmen - GesamtGeplante taktische Sicherheitsmaßnahmen - Gesamt

1. Daten zur Studie

2. Ländervergleich







HandlungsempfehlungenHandlungsempfehlungen

AgendaAgenda

HandlungsempfehlungenHandlungsempfehlungen

Umfassendes, ganzheitliches Sicherheitskonzept / Security Policy

Informationssicherheit / IT-Sicherheit: Chefsache

Sicherheitsbewußtsein bei Mitarbeitern

Basismechanismen

80/20-Prinzip

Erfolgskontrolle / Überprüfung der Ziele

Kostenpunkt der Gesamtstudie: Euro 990,-- zzgl. MwSt.

Teilergebnisse auf Anfrage.

Hier ist Ihr Kontakt:Frank SautnerSenior-Projektleitung [email protected]. +49 (0) 81 21 95 15 95

Sie wollen mehr wissen?Sie wollen mehr wissen?Gerne!Gerne!

Documents

Sandra Ines Gerbich Redakteurin IT-Security, Netzwerk- und Systemmanagement [email protected] IT-Security 2002: Blind oder blauäugig?