Trends aus den <kes>-sicherheitsstudien von 1998 bis 2006

Transkript

1 Rückblick nach vorn Trends aus den <kes>-sicherheitsstudien von 1998 bis 2006 Die Lage zur Informations-Sicherheit erhält seit nunmehr über 20 Jahren alle zwei Jahre im Rahmen der <kes>-sicherheitsstudien ein Gesicht. Zur vergangenen Dekade lassen sich darin einige interessante Entwicklungen ablesen: eine zunehmende Verletzlichkeit von Unternehmen und Behörden für IT-Angriffe, ein offenkundiger Mangel beim Sicherheitsbewusstsein sowie bemerkenswerte Aspekte beim Outsourcing. Von Bernhard C. Witt, Ulm Der Einsatz von Informationstechnik durch Terminals, PCs und mobile Endgeräte am Arbeitsplatz hat in den letzten 10 Jahren kräftig an Fahrt gewonnen die <kes>-studien konkretisieren diese bekannte Tatsache mit Zahlen: Waren 1996 noch 0,23 lokale IT-Systeme pro Mitarbeiter im Einsatz, so ist seither der Wert vor allem wohl aufgrund der spürbaren Kostensenkung für IT-Systeme und der zunehmenden Nutzung moderner Kommunikationsdienste ( , WWW, VoIP etc.) deutlich gestiegen und liegt 2006 bei nunmehr 0,72 (Tab. 1). Die deutlich gestiegenen Homeoffice-IT-Systeme wurden hierzu nicht berücksichtigt, da dort unklar ist, ob diese von Unternehmen beziehungsweise Behörden oder durch den Mitarbeiter selbst gestellt werden. Dieser Anstieg ist letztlich auch ein Ausdruck für eine höhere Verletzlichkeit der Institutionen gegenüber informationstechnischen Angriffen, denn IT-Systeme bedürfen nicht nur einer entsprechenden Administration, sondern stellen zugleich potenzielle Angriffsziele dar. Kenndaten zur IT Ø Terminals Ø PCs Ø mobile Endgeräte Ø Telearbeitsplätze (55) (293) Ø Mitarbeiter Verhältnis IT/Mitarbeiter 0,28 0,36 0,63 0,61 0,72 Tabelle 1: Verbreitung eingesetzter Informationstechnik Zunehmende Verletzlichkeit Während es nach wie vor viele Schäden durch unbeabsichtigte Unfälle gibt, die jedoch allmählich abgemildert werden, sind die konkreten Schäden durch informationstechnische Angriffe letztlich stabil geblieben (Tab. 2) sofern man den durch ungewöhnlich hohen Malware-Befall deutlich erhöhten Wert von 2004 (s. a. Tab. 3) in der alternativen Zusammenfassung relativiert betrachtet. Allerdings werden nach wie vor nur wenige Notfallkonzepte verifiziert und validiert: in der Regel bei weniger als einem Viertel der Teilnehmer.

2 Festgestellte Schäden durch Unfälle (menschl. bzw. techn. Versagen) 79 % 73 % 70 % Angriffe (ungezielt bzw. gezielt) 43 % 60 % 43 % Tabelle 2: Schäden durch Unfälle oder Angriffe Ein Blick in die Formen erlittener informationstechnischer Angriffe mit konkreter Schadenswirkung offenbart fast durchweg einen schleichenden Anstieg bei den einzelnen "Spielarten". Etwaige Imageschäden in Folge erlittener Angriffe lassen sich jedoch bekanntermaßen nur bedingt erfassen und Beeinträchtigungen der Vertraulichkeit werden in der Regel nur mit starker zeitlicher Verzögerung erkannt; dieser Aspekt wurde jedoch erst in der aktuellen Studie näher untersucht. In der Praxis ist zudem leider oft festzustellen, dass der Wert gespeicherter Daten unterschätzt wird, weshalb zum Beispiel der Verlust aller gespeicherten Daten lediglich mit etwas mehr als 2 % gegenüber der mittleren Bilanzsumme eher zurückhaltend bewertet wird. Formen erlittener Angriffe Malware (Vir., Würm., Troj.Pf.) 31 % 29 % 25 % 54 % 35 % unbefugte Kenntnisnahme 10 % 11 % 6 % 9 % 12 % Hacking 8 % 9 % 12 % Manipulation zur Bereicherung 2 % 2 % 2 % 8 % 11 % Sabotage (inkl. DoS-Attacken) 0 % 2 % 2 % 8 % 10 % Tabelle 3: Entwicklung informationstechnischer Angriffe Die angegebene Entwicklung der informationstechnischen Angriffe über das Internet zeigt, dass kontinuierlich mehr Angriffe registriert werden und Unternehmen sowie Behörden in stärkerem Maße an ihrer verwundbarsten Stelle treffen: der Verfügbarkeit ihrer IT-Systeme (Tab. 4). Doch auch die Verletzung der Vertraulichkeit ist deutlich spürbar etwa durch unbefugtes Lesen von Daten oder das Abhören von Verbindungsdaten. Die Folgen eines geglückten Hacking-Angriffs wurden bisher (alleine schon aufgrund der hohen Variabilität) nicht näher aufgelistet und die aussagekräftige Frage aus der aktuellen Erhebung bedauerlicherweise gestrichen. Festgestellte Angriffe via Internet Hacking des Rechners 16 % 21 % 43 % 40 % Beeinträchtigung der Verfügbarkeit 5 % 8 % 29 % 27 % unbefugtes Lesen von Daten 14 % 15 % 19 % 23 % Veränderung von Daten 5 % 6 % 7 % 11 % Abhören von Verbindungsdaten 4 % 6 % 9 % 9 % kein Angriff registriert 61 % 59 % 57 % 45 % Tabelle 4: Informationstechnische Angriffe über das Internet Risikoentwicklung Die Teilnehmer an den <kes>-sicherheitsstudien werden stets darum gebeten, vordefinierte Gefahrenbereiche in ihrer konkreten Bedeutung zu bewerten und eine Prognose über ihre

3 Entwicklung abzugeben. Diese Frage stellt damit ein maßgeschneidertes Instrument für die gefühlte Sicherheitslage dar. Bei der prognostizierten Rangfolge der Gefahrenbereiche werden Gefahren für die Safety in der Regel unterschätzt (Schutz vor unbeabsichtigten Ereignissen in Tabelle 5 bis zur höheren Gewalt), Gefahren für die Security dagegen überwiegend überschätzt (Schutz vor beabsichtigten Angriffen), wie ein Vergleich zwischen der artikulierten Erwartungshaltung und der tatsächlichen Einschätzung ihrer Bedeutung in der Folgestudie zeigt (Tab. 5). Das ist nicht verwunderlich, denn Angreifer befinden sich im Vorteil: Sie müssen lediglich eine einzige offene Schwachstelle finden und dort gezielt angreifen, während sich der Verteidiger (Unternehmen oder Behörde) auf eine Vielzahl verschiedener Angriffsmöglichkeiten einstellen muss insofern ist die Überschätzung der Angreifer konsequent. Rang (Erwartung Bedeutung) 1998/ / / /2006 Gefahrenbereich Fehler eigener Mitarbeiter Fehler durch Externe Software-bedingte Defekte Hardware-bedingte Defekte Dokumentations-bed. Defekte höhere Gewalt Malware (Vir., Würm., Troj.Pf.) unbefugte Kenntnisnahme Hacking Manipulation zur Bereicherung Sabotage (inkl. DoS-Attacken) Tabelle 5: Ranking der Gefahrenbereiche Defizit beim Sicherheitsbewusstsein Die <kes>-sicherheitsstudien offenbaren regelmäßig ein Defizit beim Sicherheitsbewusstsein in den teilnehmenden Institutionen. Bei der Frage, welche Gründe bei der Umsetzung von Informationssicherheit hinderlich waren, landete regelmäßig neben fehlendem Geld fehlendes Bewusstsein an vorderster Stelle (Tab. 6). Doch gerade das Sicherheitsbewusstsein ist der Dreh- und Angelpunkt bei der Gewährleistung der Informationssicherheit! Keine Verbesserung der IT-Sicherheit wg Geldmangel 40 % 31 % 46 % 62 % 55 % Bewusstsein bei Mitarbeitern 55 % 60 % 65 % 51 % 52 % Bewusstsein Top-Managment 50 % 51 % 50 % 45 % 45 % Bewusstsein mittl. Managem. 45 % 38 % 61 % 42 % 37 %

4 Tabelle 6: Mängel beim Sicherheitsbewusstsein Das erforderliche Sicherheitsbewusstsein lässt sich durch Schulungen und Awareness- Maßnahmen erhöhen. Doch auch hier ist ein klares Defizit messbar: So bekommen zwar Spezialisten, die Kontrollen durchführen, regelmäßig eine entsprechende Auffrischung ihres Wissens, doch die Hauptanwender (Benutzer und Management) erhalten nur gelegentlich eine entsprechende Schulung (Tab. 7) aus den Erfahrungen der Praxis heraus üblicherweise zum Beispiel bei Neueinführung eines IT-Systems oder bei Vorliegen eines gravierenden Sicherheitsvorfalls (nachsorgende Schulung). Da Schulungen ein Unternehmen Geld kosten (mindestens in Form "unproduktiver" Zeiten), wird an dieser Stelle gerne gespart, zumal ohnehin oft nicht genügend Geld für Sicherheit zur Verfügung steht. Gerade im Bereich der IT-Sicherheit sind jedoch regelmäßige Auffrischungen schon alleine aufgrund der technischen Fortentwicklung nötig und lohnen sich letztlich auch. regelmäßig Schulung erhalten IT-Sicherheitsbeauftragte 20 % 17 % 50 % 71 % 59 % Datenschutzbeauftragte 27 % 30 % 42 % 65 % 55 % IT-Mitarbeiter 23 % 31 % 34 % 45 % 40 % Revisoren bzw. Prüfer 15 % 18 % 20 % 43 % 32 % Benutzer 13 % 20 % 13 % 23 % 24 % Management 6 % 11 % 12 % 19 % 16 % Tabelle 7: Regelmäßige Schulung zur Informationssicherheit Der Kenntnisstand zur Informationssicherheit wird auf einer Skala von 1 für "sehr gut" bis 5 für "nicht ausreichend" im Schnitt mit (immerhin) befriedigenden Werten beurteilt, wobei Fachkräfte, die im Bereich der Informationssicherheit oder in hochsensitiven Bereichen tätig sind, besser abschneiden (Tab. 8). Andererseits zeigen aber auch diese Werte, dass es unbedingten Schulungsbedarf auf allen Ebenen gibt (auch zur Förderung des Sicherheitsbewusstseins). Kenntnisstand zur Informationssicherheit IT-Sicherheits-Fachleute 1,91 1,65 1,82 Anwender in hochsensitiven Bereichen 2,45 2,29 2,44 Top-Management 3,12 2,87 2,87 Mittleres Management 3,18 2,89 3,13 Anwender in weniger sensitiven Bereichen 3,53 3,23 3,38 Tabelle 8: Bewertung des Kenntnisstandes zur Informationssicherheit Gut ein Drittel der Teilnehmer attestieren ihrem Top-Management, die Informationssicherheit als "lästiges Übel" zu bewerten (Tab. 9). Zwar ist Informationssicherheit selten Selbstzweck, doch zeigt sich auch hier nochmals deutlich, dass das nötige Sicherheitsbewusstsein meist erst durch entsprechende Vorfälle geschärft wird doch dann ist es zu spät. Stellenwert vorrangiges Ziel der IV 23 % 20 % 30 % 20 %

5 gleichrangiges Ziel der IV 46 % 50 % 31 % 32 % eher "lästiges Übel" 30 % 29 % 30 % 34 % Mehrwert für andere Bereiche 9 % 14 % Tabelle 9: Stellenwert der Informationssicherheit Outsourcing Viele anfallende Tätigkeiten werden letztlich durch Dritte erbracht, da sich Institutionen außerstande sehen, die zugrunde liegenden Anforderungen mit einem akzeptablen Kosten- /Nutzenverhältnis selbst zu erfüllen oder weil externe Anbieter aufgrund ihrer Spezialisierung über vielversprechende Vorteile verfügen und sich daher zur Übernahme wichtiger Funktionen (hier nur auszugsweise abgedruckt) anbieten (Tab. 10). Der Anteil der Unternehmen und Behörden, die Outsourcing-Leistungen beziehen, liegt in den letzten Jahren konstant bei über 50 %. Klassische Tätigkeiten wie Datenträgervernichtung oder die Pflege von Datenbank- und Betriebssystemen sind inzwischen rückläufig vermutlich vor allem aufgrund funktionaler Verbesserungen und deutlicher Kostensenkungen der entsprechenden Programmpakete sowie der allgemeinen informationstechnischen Entwicklung. Andererseits werden tendenziell verstärkt Outsourcing-Leistungen zur Netzwerksicherheit bezogen. Diese Entwicklung ist aufgrund der bereits dargestellten Verletzlichkeit der Institutionen sowie teilweise fehlenden Spezial-Know-hows keineswegs verwunderlich oder falsch. Die Kehrseite der Medaille ist jedoch eine deutliche Zunahme der Fehleranfälligkeit gegenüber externen Mitarbeitern (Tab. 11). Outsourcing Anteil 36 % 46 % 73 % 52 % 56 % Datenträgervernichtung 59 % 59 % 72 % 63 % 61 % Netzwerk-Management 26 % 33 % 37 % 28 % 35 % Managed Firewall/IDS/IPS 48 % 32 % 34 % Online-Anwendungssysteme 21 % 22 % 40 % 21 % 27 % Betriebssystempflege 25 % 21 % 32 % 29 % 18 % Datenbank-Systeme/-Werkzeuge 29 % 26 % 33 % 23 % 18 % Datensicherung, Backup 19 % 17 % 29 % 26 % 17 % Tabelle 10: Nutzungsgrad von Outsourcing Ursachen der Beeinträchtigung Fehler eigener Mitarbeiter 49 % 52 % 30 % 51 % 49 % Fehler durch Externe 7 % 6 % 9 % 15 % 30 % Tabelle 11: Fehlerursachen intern versus extern Berater

6 Gerade im Bereich der Informationssicherheit sind meist langjährige Erfahrungswerte nötig, um die Vielschichtigkeit der IT angemessen durchdringen zu können, sodass auch der Bedarf für externe Beratung hoch ist (Tab. 12). Der Grad uneingeschränkter Zufriedenheit mit derartigen Dienstleistungen ist jedoch 2006 dramatisch gefallen und gleichzeitig zum ersten Mal der Grad ausdrücklich angegebener Unzufriedenheit merklich angestiegen. Leider kann die aktuelle Studie hierzu keine Gründe liefern, sodass hierzu nur spekuliert werden kann mögliche Ursachen der schlechteren Bewertung könnten sein: Dienstleister im Bereich der Informationssicherheit sind zu einer permanenten Weiterbildung hinsichtlich neuer Informationstechniken, Angriffsformen und internationalen Standards "verdammt". Die entsprechenden Vorleistungen sind teuer, sodass Auftraggeber teilweise auf "Billig-Anbieter" zurückgreifen, was beinahe zwangsläufig zu einer schlechteren Bewertung führt. Derzeit gibt es kein entsprechendes Gütesiegel für die Sicherheitsberatung (und letztlich kann es aufgrund der für eine Zertifizierung zu bewertenden, eng mit dem Betriebs- und Geschäftsgeheimnis nach 17 UWG verknüpften Beratungstätigkeit für unterschiedliche Kunden dieses auch nur schwerlich geben). Interessierte Unternehmen und Behörden können daher nur selten vorab beurteilen, welche Qualität die bestellte Leistung tatsächlich aufweisen wird. Zugleich kommen (eher beliebige) Checklisten immer mehr in Mode, die zwar Seriosität ausstrahlen, doch selten auf die konkreten Bedürfnisse angepasst sind, was die Zufriedenheit potenziell senkt. Auf dem Markt findet man glücklicherweise zunehmend Tools, mit denen einerseits die Anforderungen der Compliance unterstützt und andererseits das Sicherheitsbewusstsein von Mitarbeitern gefördert werden kann. Jedoch wecken diese Tools in der Praxis zuweilen die unberechtigte Hoffnung, dann keine entsprechende Beratung oder Dienstleistung mehr benötigen zu müssen. Dies führt unter Umständen zu einer niedrigeren Bewertung, wenn entsprechende Sachverhalte folglich irrtümlich als bekannt angesehen werden, denn das nötige Wissen für eine hierzu erforderliche Analyse fehlt allzu oft bei Entscheidern. Externe Sicherheitsberatung Nutzung von Beratungsleistung 44 % 50 % 59 % 59 % 55 % Volle Zufriedenheit mit Beratung 36 % 34 % 49 % 51 % 32 % Unzufriedenzeit mit Beratung 4 % 2 % 3 % 3 % 6 % Tabelle 12: Grad externer Sicherheitsberatung Weitere Erkenntnisse Dieser Artikel beleuchtet detailliert lediglich die drei erörterten zentralen Trends aus den letzten <kes>-sicherheitsstudien ([1] bis [5]). Dabei wurde bewusst nur auf Datenmaterial zurückgegriffen, das über wenigstens drei Studien hinweg erhoben wurde. Einige weitere bemerkenswerte Resultate sind: eine höhere Bewertung erreichter Informationssicherheit bei zentralen IT-Systemen, die direkt von der IT-Administration betreut werden, deutliche Defizite bei der Auswertung von Protokollen (Log-Files), sodass einige Zugangs- und Zugriffsbeschränkungen ins Leere laufen, ein zunehmender Einsatz zertifizierter Produkte (Sicherheits-Evaluation),

7 der Fokus auf ein möglichst rasches Wiederanlaufen produktiver Tätigkeiten beim gewählten Notfall-Vorsorge-Konzept, gegenläufige Entwicklungen der Verschriftlichung von Informationssicherheit- Strategie einerseits (zunehmend) und Maßnahmenkonzepten andererseits (abnehmend) sowie die ausgewiesen hohe Bedeutung der Compliance für die Risikobewertung hinsichtlich potenzieller Verstöße gegen Gesetze und Verträge oder hinsichtlich möglicher Haftungsansprüche Dritter. Insgesamt spiegeln die <kes>-sicherheitsstudien einen guten Einblick in den gelebten Stand der Technik wider. Für diese Betrachtung wurde auf eine ausführliche Auswertung der Rohdaten verzichtet, auch wenn dadurch nicht alle Querbezüge und Korrelationen aufbereitet werden konnten. Für die obige Sonderauswertung der Studien von 1998 bis 2006 ist ferner zu bedenken, dass die Fragebogen von einem unterschiedlichen Teilnehmerkreis (mit uneinheitlicher Rücklaufquote) ausgefüllt wurden, sodass die Vergleichbarkeit der Daten grundsätzlich mit einer gewissen Vorsicht zu genießen ist. Grundsätzlich kann es gravierende Schwankungsbreiten in einzelnen Jahren aufgrund des konkreten Teilnehmerkreises geben. Insofern lassen sich allenfalls einzelne Trends ablesen. Eine Einordnung der Ergebnisse in umfassende Sichtweisen erfolgt in [6]. Die letzte zusammenfassende Darstellung über die <kes>-sicherheitsstudien von 1985/86 bis 1996 findet sich in [7]; da dort jedoch nicht alle Fragebögenaspekte aufbereitet wurden, die hier betrachtet wurden, wurde auf eine entsprechende Darstellung über 20 Jahre verzichtet. Diplom-Informatiker Bernhard C. Witt ist geprüfter fachkundiger Datenschutzbeauftragter, Berater für Datenschutz und IT-Sicherheit bei der it.sec GmbH & Co. KG und Lehrbeauftragter an der Universität Ulm. Literatur [1] KES/Utimaco-Sicherheitsstudie 1998, So schätzen die DV-Anwender ihre Sicherheit ein, KES 98/3, S. 20 und KES 98/4, S. 26 [2] KES/Utimaco-Sicherheitsstudie 2000, Hacker und Viren: Die Welt in der Internet- Falle?, KES 2000/3, S. 22 und KES 2000/4, S. 22 [3] KES/KPMG-Sicherheitsstudie 2002, Lagebericht zur IT-Sicherheit, KES 2002/3, S. 14 und KES 2002/4, S. 16 [4] <kes>-microsoft-sicherheitsstudie 2004, Lagebericht zur IT-Sicherheit, <kes> 2004#4, S. 6 und <kes> 2004#5, S. 6 [5] <kes>-microsoft-sicherheitsstudie 2006, Lagebericht zur IT-Sicherheit, <kes> 2006#4, S. 24, <kes> 2006#5, S. 40 und <kes> 2006#6, S. 48 [6] Bernhard C. Witt, IT-Sicherheit kompakt und verständlich, Vieweg Verlag Edition <kes>, Dez. 2006, ISBN [7] Jörn Vossbein, Integrierte Sicherheitskonzeptionen für Unternehmen, SecuMedia Verlag, 1999, ISBN