1998/06/01 Stand der IT-Sicherheit in Österreich - KURZFASSUNG
Bedeutung und Umsetzung von Security policies aus der Sicht der EDV-Anwender
Die Studie bestätigt den Trend, daß Irrtümer/Fahrlässigkeit der Mitarbeiter (MA),
und technische Softwareprobleme die wesentlichsten Sicherheitsschwachstellen
darstellen. 98% der Teilnehmer (TN) stimmten dieser Aussage zu.
Allerdings konnten nur sehr mangelhafte Gegenmaßnahmen festgestellt werden. Besonders die Bereitschaft zur Sicherheitsschulung von MA und zum Einsatz von Analysewerkzeugen ist unterentwickelt.
Bei Softwareproblemen werden sowohl fehlerhafte Software als auch programmtechnisch manipulierte Software als größte Sicherheitsrisken eingeschätzt Im Zuge der Vernetzung erlangen externe Angriffe eine größere Bedeutung als Sicherheitsrisiko, als sie bis jetzt hatten.
Die beiden Gefahrenbereiche 'Höhere Gewalt' und Hardware-Defekte werden in der zukünftigen Sicherheitsdiskussion stark an Bedeutung verlieren.
Derzeit werden Chipkarten und biometrische Identifikationsmethoden nicht breit und umfassend eingesetzt. Dies ist teilweise auf fehlende, nicht ausgereifte Produkte zurückzuführen (Nachrüstproblem bestehender Einrichtungen), teilweise auf Verunsicherung im rechtlich-organisatorischen Bereich (Kryptographiediskussion). Die überwiegende Zahl der EDV-Anwender (75%) begrüßt die Standardisierung von IT-Sicherheitsmaßnahmen, nur eine Minderheit von 17% lehnt Aktivitäten in diesem Bereich ab.
Kosten sind nicht die zentralen Auswahlkriterien für Sicherheitsmaßnahmen. Für die weitaus überwiegende Zahl der EDV-Anwender ist 'einfache Handhabbarkeit' das entscheidende Kriterium.
Die TN sind auch bereit, für gute Sicherheitsprodukte (einfache Handhabbarkeit und Verständlichkeit) auch höhere Preise zu bezahlen.
Interne Ansätze zur Sicherheitskontrolle werden gegenüber externen Prüfmaßnahmen eindeutig bevorzugt (85% gegenüber 7%).
Eine weitere unterstützende Maßnahme könnten unabhängige, freiwillig zu kontaktierende Beratungs- und Supervisionsstellen für IT-Sicherheitsfragen sein. Die Mehrheit der TN beschränkt sich bei der Erstellung von Sicherheitskonzepten auf allgemeine Anweisungen der Vorgesetzten, Umsetzung und Kontrolle sind ungenügend. Besonders im Bereich der EDV-Anwender von Klein- und Mittelbetrieben besteht die Gefahr, daß die Aufforderung 'aufzupassen' überwiegt und zum - ungeeigneten - Sicherheitsauftrag wird.
Erfreulich ist der Trend 'SW-Produkte mit ausgewiesenen Sicherheitsstandards' einsetzen zu wollen. Hier ergeben sich enorme Chancen für österreichische Einrichtungen (SW-Entwicklung, Entwicklung von Zusatzprodukten, Prüf- und Zertifizierungsstellen).
Erfreulich entwickelt sich das Bild im Zusammenhang mit Sicherheitsrisken bei offenen Netzwerken (z. B. INTERNET). Firewalls, Datenverschlüsselung und Antivirenprogramme gehören zum Standardrepertoire im Zusammenhang mit offenen Netzwerkstrukturen.
Die Vielzahl an - zum Teil übertriebenen und/oder einseitigen - Presseberichten haben sicher ein gewisses Maß an Verunsicherung erzeugt, gleichzeitig aber die IT-Anwender motiviert, moderne Abwehrmaßnahmen einzusetzen.
Geplante Beschränkungen im Bereich Netzwerksicherheit (etwa bei der Verschlüsselung)
müssen als Behinderung bestehender Sicherheitslösungen angesehen werden. Neue Sicherheitsmaßnahmen werden bei der überwiegenden Zahl von TN (84%) aufgrund qualifizierter Ereignisse (Fachinformationen, Empfehlungen der Revision, Verdacht auf Datenverlust) und aufgrund von Standardsituationen (Neuinstallationen, Auftreten von Datenverlust) gesetzt. Damit kann von im wesentlichen akzeptablen Sicherheitsstrategien gesprochen werden.
Die gängige Meinung, daß Informationen über Sicherheitslücken bloß zu Verunsicherung
und nicht zu konkreten Schutzmaßnahmen führen, konnte nicht bestätigt werden. Ein widersprüchliches Bild ergibt sich im Zusammenhang mit der Beschaffung von Software.
Im Zusammenhang mit der Kompetenz der Lieferanten/Herstellern im Bereich Security Policies reagierten die TN mit 40% Ablehnung und nur 30% Zustimmung. Umgekehrt vertrauen jedoch 69% den Herstellerangaben zur Sicherheit. Offenbar folgt einem grundsätzlichen sicherheitspolitischen Unbehagen gegenüber den Herstellern keine angemessene Reaktion.
Kaum Bedeutung haben individuelle Gutachten externer Stellen zur Sicherheit von neu beschaften IT-Systemen.
PC/Workstations (69%) und Netzwerkkomponenten (60%) gelten als DIE sicherheitsgefährdeten Anlagen. Nur 9% sehen besondere Gefährdungen im Mainframe-Bereich.
Die TN sind grundsätzlich aufgeschlossen gegenüber regulierenden (gesetzlichen) Maßnahmen im Bereich Sicherheitstechnik. Freiwillige Maßnahmen werden jedoch gegenüber Zwangsmaßnahmen bevorzugt. Diese freiwilligen Maßnahmen können durchaus auch verbindlichen Charakter haben.
Vier Maßnahmen, branchenspezifische 'Codes of Conduct' (74%), technische Servicestelle (76%), ein nationales CERT (70%) und die regelmäßige Publikation von Prüfberichten und Übersichtskatalogen (72%) erreichten eine Zustimmung von 70 Prozent und mehr.
Die angesprochenen Maßnahmen sind zum Teil ohne jede Kosten realisierbar ('Codes of Conduct') oder könnten kostenneutral bzw. mit geringen Kosten betrieben werden ('nationales CERT' und 'technische Servicestelle'). Mehrheitlich abgelehnt wird eine Überwachungsbehörde, die EDV-Anwender auf Sicherheit 'prüft' (65% Ablehnung, 15% Zustimmung).
Hohe Zustimmung fand auch die Idee der steuerlichen Begünstigung von Sicherheitsprodukten (60% Zustimmung, 18% Ablehnung). Angesichts der angespannten Budgetlage und auch in Hinblick auf eine mögliche Administration muß dieser Gedanke aber skeptisch beurteilt werden.
Die Mehrheit der TN gab an, der Datensicherheit in ausgewählten Bereichen (Gesundheit, Finanzdienste, öffentliche Sicherheit und betrieblicher Know-How-Schutz) zu vertrauen.
Aufgrund der relativ hohen Zahl von Nicht-Antworten bzw. neutralen Antworten muß man
jedoch von einem relativ weit verbreiteten Unbehagen ausgehen. Nur im Bereich 'betrieblicher Know-How-Schutz' ging eine absolute Zahl von TN davon aus, daß die Informationen sicher verwaltet werden.
|
