Heimische Unternehmen sind sich der Abhängigkeit von der IT und den damit verbundenen Risiken bewusst. Während grundlegende Maßnahmen wie zum Beispiel Firewalls, Virenschutz, Backup- und Wiederherstellungsprozeduren beinahe durchgängig vorhanden sind, ergibt sich bei spezielleren Maßnahmen und deren Qualität ein eher durchwachsenes Bild. So der Tenor der von Philipp Reisinger verfassten wissenschaftlichen Arbeit "Informationssicherheit in Österreich" (Studiengang IT-Security an der Fachhochschule St. Pölten). [...]
Bei der Frage nach der Wichtigkeit des Themas Informationssicherheit in den Unternehmen antworteten 30 Prozent der knapp 50 Unternehmen, die sich an Reisingers Umfrage beteiligt haben, dass dieses Thema für sie „sehr wichtig“ ist und „in allen wesentlichen Geschäftsprozessen einen definierter, integralen Bestandteil darstellt“. Weitere 40 Prozent sehen die Informationssicherheit als „wichtiges“ Thema, wofür eine dedizierte Rolle verantwortlich ist. Lediglich für 5 Prozent der Unternehmen stellt Informationssicherheit ein „unwichtiges oder nebensächliches“ Thema dar.
Generell gibt es für Unternehmen viele unterschiedliche Gründe, sich mit dem Thema Informationssicherheit auseinanderzusetzen. Zu den wichtigsten Faktoren zählen die Absicht Datenverlusten oder -Verfälschungen vorzubeugen (70 Prozent geben dies als Motivation an), gesetzliche Vorgaben und das Thema Compliance (jeweils 65 Prozent), der Versuch die
Stabilität des Betriebs sicherzustellen (65 Prozent) sowie Imagegründe (54 Prozent). Weiters geben auch 54 Prozent der Unternehmen als Motivation an, in gewissen Geschäftsprozessen und Tätigkeiten stark von der eigenen IT abhängig zu sein.
ISO 27001 UND ITIL VERBREITET
Auf die Frage, ob bzw. welche Standards oder Empfehlungen im Bereich der Informationssicherheit genutzt werden, um das eigene Sicherheitsniveau zu gewährleisten und zu verbessern, gaben 42 Prozent der Unternehmen an, sich mit keinen speziellen Standards/Empfehlungen auseinanderzusetzen. Am häufigsten wurde angegeben, dass die ISO 27001-Serie sowie ITIL genutzt werden (37 Prozent und 35 Prozent). Auch das Österreichische Informationssicherheitshandbuch wurde häufig erwähnt (21 Prozent). Anscheinend wurde der BSI-Leitfaden „Informationssicherheit – IT-Grundschutz kompakt“, welcher einen Überblick (insbesondere für KMU bzw. nicht übermäßig Informationssicherheits-affine Unternehmen) über die wichtigsten organisatorischen, infrastrukturellen und technischen Sicherheitsmaßnahmen und Praxisbeispiele für Gefahren enthält, auch in einigen Fällen genutzt (21 Prozent).
Als Hauptbedrohungen/Risiken im Bereich der Informationssicherheit werden von einem Großteil der Unternehmen die Gebiete „Malware (Viren, Trojaner, Spyware etc.)“ (64 Prozent), „Datenverluste“ (59 Prozent), Hacking (41 Prozent), Fahrlässigkeit eigener Mitarbeiter (46 Prozent) sowie der gezielte Diebstahl von Daten/Systeme/mobile Geräte (39 Prozent) angesehen.
Die Frage, in welcher um eine Einschätzung der hemmende Faktoren bei der Aufrechterhaltung und Verbesserung der Informationssicherheit im Unternehmen ersucht wird, ergibt, dass „Sich schnell ändernde Systemumgebung und Angriffsarten“ (53 Prozent), „Fehlendes Budget“ (48 Prozent) und „Fehlende Mitarbeiter-Akzeptanz von die Usability/Benutzbarkeit einschränkenden Maßnahmen“ (43 Prozent) einige der größten Probleme darstellen. Weiters wurden auch die Faktoren „Fehlender Support/Bewusstsein (Top)Management“, „Mangelndes Risikobewusstsein“, „Mangelndes Detail/Spezialwissen (zu Gefahren/Angriffsvektoren und notwendigen Maßnahmen)“ und die „negative Beeinträchtigung der Produktivität durch Informationssicherheits-Maßnahmen“ genannt.
CLOUD JA, SICHERHEIT NEIN
Über 70 Prozent geben an, im letzten Jahr von zumindest einem Vorfall im Bereich der Informationssicherheit betroffen gewesen zu sein. Rund ein Fünftel der Unternehmen sagen zudem, dass es 2012 zu Datenverlusten gekommen sei. Demgegenüber sind die Zahlen in Sachen organisatorischer Rahmenbedingungen eher mau: 44 Prozent der befragten Firmen haben einen Informationssicherheitsverantwortlichen und eine entsprechende Policy. Bei 32 Prozent gibt es zwar einen Verantwortlichen, aber keine formalen Sicherheitsrichtlinien. In den verbleibenden 24 Prozent der heimischen Unternehmen herrscht diesbezüglich bloß gähnende Leere.
Im Bezug auf Cloud, eines der Trendthemen der letzten Jahre, gaben die Hälfte aller Unternehmen an, diese bereits aktiv zu nutzen, jedoch ohne spezifischer Sicherheitsmaßnahmen. Weitere 27 Prozent gaben an Cloud und Outsourcing zu nutzen und dabei spezifische Sicherheitsmaßnahmen umgesetzt zu haben. Lediglich die eindeutige Minderheit von 24 Prozent der Unternehmen waren weder in der Cloud noch im Bereich des Outsourcing von IT-Dienstleistungen aktiv.
Beim Thema Virtualisierung gaben lediglich 31 Prozent an sich nicht damit zu beschäftigen. 19 Prozent nutzten Virtualisierung und bestätigten, dass dabei spezielle Sicherheitsmaßnahmen getroffen wurden. Die restlichen 50 Prozent nutzen zwar Virtualisierung, ohne sich jedoch mit dafür spezifischen Sicherheitsmaßnahmen auseinanderzusetzen.
Im Rahmen der Studie zum Thema Informationssicherheit in österreichischen Unternehmen wurden in einer Online-Umfrage mit 19 fachspezifischen Fragen 47 Teilnehmer befragt. Die Umfrage wurde in 5 große Teilbereiche gegliedert, in denen die unterschiedlichen organisatorischen und technischen Aspekte der Informationssicherheit sowie einige „Trendthemen“ wie mobile
Geräte und BYOD, Cloud Computing und Outsourcing, Virtualisierung und Mitarbeiter-Awareness behandelt wurden. (rnf)
Be the first to comment