Ergebnis SEC-CHECK® Online-Umfrage SSD 2007

Vielen Dank für Ihre Teilnahme. Insgesamt wurden 320 Fragebogen retourniert. Nachfolgend erhalten Sie die Ergebnisse in grafisch aufbereiteter Form.

1. Sind Ihnen schon einmal durch einen PC-Absturz Daten verloren gegangen?

Bei gut der Hälfte scheint die EDV fehlerfrei und stabil zu laufen. Frage: könnte es sein, dass man sich hier besser darstellen möchte, weil es sonst peinlich wirkt?

2. Was verstehen Sie unter sensiblen Daten?

Der Umfrage nach besitzen Daten über finanzielle Angelegenheiten die höchste Schutzwürdigkeit. Dagegen scheinen Fabrikationsprozesse eine vergleichweise untergeordnete Rolle zu spielen, obwohl durch Betriebsspionage von Fertigungsmethoden eine Firma existenziell gefährdet werden kann.

3. Halten Sie es für möglich, dass Ihre PC-Systeme und Notebooks unbemerkt überwacht oder "abgehört" werden?

Mehr als die Hälfte der Teilnehmer ist überzeugt, dass ein Heraussickern von Daten eher unwahrscheinlich ist. Die Realität sieht aber leider ganz anders aus. Um nur ein Beispiel zu nennen: 95% aller Mails werden weiterhin unverschlüsselt verschickt, was sicherheitstechnisch mit Postkartensendungen verglichen werden kann.

4. Würde durch Datenklau ein grosser materieller Schaden oder erheblicher Imageverlust für Sie oder Ihr Unternehmen entstehen?

Die Antwort lässt klar darauf schliessen, das Thema wird ernstgenommen und man ist besorgt. Die Frage ist, wieviele finanzielle Ressourcen werden zur Verfügung gestellt, um das zu verhindern? Siehe auch Fragen 13 und 14 weiter unten.

5. Werden in Ihrem Unternehmen/Institution MitarbeiterInnen auf die Problematik Datensicherheit sensibilisiert und geschult?

Gemäss der in Online-Foren gängigen Redensart "Das Sicherheitsproblem befindet sich zwischen Bildschirm und Stuhl" wird grosser Wert auf Mitarbeiterschulung bezüglich Datensicherheit gelegt, wenn auch noch lange nicht lückenlos. Datensicherheit ist aber auch noch abhängig davon, wie das System konfiguriert ist und mit was für Berechtigungen die Mitarbeiter "unterwegs" sind.

6. Wer ist für den Datenschutz auf Ihrem System verantwortlich?

In diesem Bereich befindet sich noch einiges an Nachholbedarf bezüglich wer für was zuständig ist.

7. Wer entscheidet über den Einsatz der Security-Produkte (Hard- und Software) und -Dienstleistungen, Penetrationstests und Beratung?

Das Ergebnis zeigt deutlich, dass in knapp zwei Dritteln der Unternehmen die IT-Sicherheit zur Chefsache erklärt wurde. Allerdings überlässt ein grosser Teil die Informationssicherheit ihrem EDV-Betreuer, was ohne unabhängige Qualitätskontrolle hoch riskant ist.

8. Welche EDV-Sicherheitsprodukte und -Konzepte setzen Sie bereits ein?

Virenschtz und Firewall an der Netzwerkgrenze zwischen internem Firmen-LAN und öffentlichem Internet sind mittlerweilen fast überall eine Selbstverständlichkeit geworden. Nachholbedarf besteht dagegen beim Einspielen von Sicherheitspatches für sämtliche geschäftlich eingesetzten Softwareprodukte. Es ist auch ein offenes Geheimnis, dass es Malware-Produkte auf dem Internet gibt, die Firewalls in beide Richtungen "durchtunneln" können und Spyware, die wie ein Chamäleon sein Äusseres laufend der Umgebung anpassen kann. Zitat von Marc Henauer vom EJPD sagt richtig: "Das Problem für die Schweiz ist nicht die mangelnde IT-Security allein, sondern das Fehlen eines integralen Sicherheitsansatzes: IT-, Mitarbeiter- und Physische-Sicherheit miteinander vereint und bereits im präventiven, proaktiven Stadium ansetzen."

9. Wie ist die Installation von Software für Benutzer auf den PCs geregelt?

Ein Grossteil vertraut auf ihre technische Gegenmassnahmen, um ein unbefugtes Doppelklicken von SETUP.EXE zu verhindern. Mit Vorteil sollten gemäss dem Grundsatz "Dichtung und Wahrheit" diese Massnahmen geprüft werden. Den übrigen Unternehmen wird eine Reduktion der Benutzerrechte dringend angeraten.

10. Wurde jemals auf Ihrem PC oder sogar dem gesamten Netzwerk ein IT-Sicherheitstest durchgeführt?

Das Ergebnis zeigt klar auf, dass sich viele Unternehmen über die Prüfung ihrer IT-Sicherheit bereits Gedanken gemacht haben. Allerdings schwebt jedes dritte Unternehmen immer noch darüber im Ungewissen, wie es um die Möglichkeiten für Angriffe steht, obwohl diese mit grösster Wahrscheinlichkeit in der Praxis bereits stattgefunden haben. Es wurde ganz einfach nicht (bewusst oder unterbewusst) bemerkt!

11. Hat sich in Ihrem Unternehmen/Institution jemals ein Sicherheitsvorfall ereignet?

Gemäss dieser Umfrage fühlt sich der Grossteil der Unternehmen sehr sicher. Allerdings wird verstärkt auf unbemerkte Vorfälle hingewiesen, weshalb umfangreichere Sicherheitsaudits (flächendeckende inspektorische Messungen mit SEC-CHECK® DIAGNOSIS und Penetrationstests) sehr empfohlen werden.

12. Wieviele Computer (Desktops, Notebooks und Server) werden in Ihrem Unternehmen/Institution eingesetzt?

Der Grossteil aller Teilnehmer waren Kleinst- und Kleinunternehmen. Ein repräsentativer Querschnitt durch die Schweizer Wirtschaft!

13. Existiert ein finanzielles Budget für die EDV-Sicherheit?

Gemäss dieser Umfrage werden an vielen Orten auch heute noch keine finanziellen Mittel explizit für die Datensicherheit zugesprochen. Die Sorgen sind da, man möchte aber bewusst sparen? Im Hinblick auf Betriebszertifizierungen und Qualitätssicherung wird daher dringend angeraten, diesen Zustand zu ändern.

14. Wieviel darf IT-Security Ihrer Ansicht nach pro Jahr und Station kosten?

Gemäss diesem Ergebnis sind die Unternehmen dennoch durchaus bereit, etwas in die Sicherheit zu investieren. Lediglich in der Höhe herrscht eine gewisse Unschlüssigkeit, bzw. variieren die Vorstellungen, was Sicherheit kosten darf, sehr stark. Erfreulicherweise ist jedoch weitgehend das Bewusstsein vorhanden, dass nicht alles gratis zum Nulltarif möglich ist.

15. Würden Sie auch von einem mittelständischen, unabhängigen Anbieter Informatik-Security-Produkte und -Dienstleistungen nutzen?

Gemäss diesem Resultat herrscht ein verstärktes Preisbewusstsein vor, wonach teure Beratungsprojekte mit geringem Effekt eher wenig Chance besitzen. Ansonsten möchten sich die Unternehmen bei der Wahl eines externen Partners auf allgemein anerkannte Qualitätslabels (gelb, rot, blau usw.) stützen können.

16. SUA Telenet GmbH ist Mitglied des Vereins InfoSurance. Kennen Sie diese vom Bund unterstützte Vereinigung?

Immerhin jeder Vierte kennt mittlerweilen InfoSurance, das schweizweite, zentrale Organ im Datensicherheitsbereich vom Bund.

<< zurück