Netz- und Informationssicherheit in Unternehmen 2011

Transkript

1 Netz- und Informationssicherheit in Unternehmen 2011 Ergebnisse einer Befragung von kleinen und mittelständischen Unternehmen in Deutschland Andreas Duscha, Maria Klees, Reinhard Weisser

2 Vorwort Sehr geehrte Damen und Herren, d - und BMWi/NEG-Verbundprojekts - Jahr Auch in diesem Jahr ist es im Gegensatz zu vielen anderen Untersuchungen wieder gelungen, insbesondere kleine Unternehmen und das Handwerk zu erreichen und so eine einzigartige Aussagekraft zu ermöglichen. Die Ergebnisse zeigen, dass auch kleine und mittlere Unternehmen und das Handwerk mit ihren IT-Landschaften zunehmend im Fadenkreuz der Angreifer stehen. Leistungsfähige mobile Geräte eröffnen neue Chancen für Unternehmen, bergen aber auch Risiken. Neben der Frage, wie es insgesamt um die IT- und Informationssicherheit in Unternehmen bestellt ist, wird dem Aspekt der mobilen Sicherheit in diesem Jahr besondere Aufmerksamkeit geschenkt. Ich wünsche Ihnen viel Freude bei der Lektüre! Andreas Duscha Leiter E-Commerce-Center Handel 2

3 Inhaltsverzeichnis Einleitung Kurzzusammenfassung Zusammensetzung der Stichprobe Sicherheitsbewusstsein in Unternehmen Organisation der IT- und Informationssicherheit in Unternehmen Maßnahmen zur Erhöhung der Internetsicherheit Gefährdungsszenarien und Risikoabschätzung Sicherheitsrisiken von mobilen Anwendungen Fazit 3

4 Inhaltsverzeichnis Einleitung Kurzzusammenfassung Zusammensetzung der Stichprobe Sicherheitsbewusstsein in Unternehmen Organisation der IT- und Informationssicherheit in Unternehmen Maßnahmen zur Erhöhung der Internetsicherheit Gefährdungsszenarien und Risikoabschätzung Sicherheitsrisiken von mobilen Anwendungen Fazit 4

5 Die Studie Netz- und Informationssicherheit in Unternehmen 2011 : Informationen von KMU für KMU Wie ist es um die IT- und Informationssicherheit in kleinen und mittleren Unternehmen (KMU) bestellt Welche Gefahren gehen von mobilen Anwendungen aus Diese und weitere Fragen werden in der vorliegenden Untersuchung des vom Bundesministerium für Wirtschaft und Technologie (BMWi) geförderten Netzwerks Elektronischer Geschäftsverkehr (NEG) untersucht und beantwortet. Die Befragung wurde vom E-Commerce-Center Handel (ECC Handel) federführend realisiert und ist Teilleistung des BMWi/NEG- - Durch die gezielte Ansprache von kleinen und mittleren Unternehmen erfüllt die vorliegende Studie zwei wesentliche Funktionen. Zum einen ermöglicht es die Befragung den Teilnehmern aus KMU und Handwerk, mögliche Schwachstellen und Potenziale ihrer IT-Sicherheitsmaßnahmen zu identifizieren. Zum anderen liefern die detaillierten Ergebnisse in diesem Berichtsband ein aktuelles Bild über den Status quo verschiedener KMU-spezifischer Aspekte der IT- und Informationssicherheit. Die Online-Befragung wurde im April und Mai 2011 durchgeführt. Insgesamt gingen 324 verwertbare Fragebögen in die Auswertung ein. 5

6 Das Netzwerk Elektronischer Geschäftsverkehr - E-Business für Mittelstand und Handwerk (I) Das Netzwerk Elektronischer Geschäftsverkehr (NEG) ist eine Förderinitiative des Bundesministeriums für Wirtschaft und Technologie. Seit 1998 unterstützt es kleine und mittlere Unternehmen bei der Einführung und Nutzung von E-Business-Lösungen. Beratung vor Ort Mit seinen 28 bundesweit verteilten Kompetenzzentren informiert das NEG kostenlos, neutral und praxisorientiert auch vor Ort im Unternehmen. Es unterstützt Mittelstand und Handwerk durch Beratungen, Informationsveranstaltungen und Publikationen für die Praxis. Das Netzwerk bietet vertiefende Informationen zu Kundenbeziehung und Marketing, Netz-und Informationssicherheit, Kaufmännischer Software und RFID sowie E-Billing. 6

7 Das Netzwerk Elektronischer Geschäftsverkehr - E-Business für Mittelstand und Handwerk (II) Das Projekt Femme digitale fördert zudem die IT-Kompetenz von Frauen im Handwerk. Der NEG Website Award zeichnet jedes Jahr herausragende Internetauftritte von kleinen und mittleren Unternehmen aus. Informationen zu Nutzung und Interesse an E- Business-Lösungen in Mittelstand und Handwerk bietet die jährliche Handwerk Das Netzwerk im Internet Auf können Unternehmen neben Veranstaltungsterminen und den Ansprechpartnern in Ihrer Region auch alle Publikationen des NEG einsehen: Handlungsleitfäden, Checklisten, Studien und Praxisbeispiele geben Hilfen für die eigene Umsetzung von E-Business-Lösungen. Fragen zum Netzwerk und dessen Angeboten beantwortet Markus Ermert, Projektträger im DLR unter 0228/ oder per markus.ermert@dlr.de. 7

8 Verbundprojekt Sichere E-Geschäftsprozesse in KMU und Handwerk Sebastian Spooren Ekkehard Diedrich Andreas Duscha Dagmar Lange (Konsortialführung) Andreas Gabriel 8

9 Die Leistungen des Verbundprojekts Sichere E-Geschäftsprozesse in KMU und Handwerk Das umfangreiche, kostenfreie Informationsangebot des Verbundprojekts reicht von der Sensibilisierung der Führungskräfte und der Mitarbeiter für das Thema - und Informationssicherheit" im Rahmen von Veranstaltungsreihen, Unternehmer-Stammtischen und Live Hacking-Events über jährliche Studien bis hin zu begleitenden Einsteiger-Broschüren und Sicherheitsratgebern. Darüber hinaus verfügt das Verbundprojekt über eine Vielzahl an bereits veröffentlichten Materialien zu diversen ausgewählten Spezialthemen der Sicherheit sowie über tiefergehende Materialien wie z. B. Informationsbroschüren zum Thema mobiles Arbeiten und Cloud Computing oder einen Ratgeber zum Thema Systemausfall. Die thematisch breit gefächerte Auswahl an Materialen reflektiert die Vielschichtigkeit der Herausforderungen für KMU und Handwerk in der digitalen Welt und geht dabei insbesondere auf aktuell relevante Fragestellungen oder Probleme ein. 9

10 Ausgewählte Materialien des Verbundprojekts für Ihre Sicherheit (I) Kompakte IT-Sicherheitstipps zu unterschiedlichen Themen, z. B. Networking und WLAN-Sicherheit Informationsbroschüren und Checklisten für Einsteiger, z. B. Datensicherung und Mobile Business Branchenspezifische Handlungsanleitungen für die Praxis Unternehmerstammtische zur IT- und Informationssicherheit in ganz Deutschland Jährliche zielgruppenspezifische Studie - 10

11 Ausgewählte Materialien des Verbundprojekts für Ihre Sicherheit (II) Informationsplattform -Geschäftsprozesse Aktuelle und neutrale Informationen über Aspekte der Sicherheit werden im Internet auf der Informationsplattform des NEG unter angeboten. 11

12 Online-Ratgeber des NEG zum IT-Sicherheitsmanagement von KMU Hilfestellung für Unternehmen bei der optimalen Gestaltung des IT-Sicherheits-Managements nach den Grundanforderungen an die Basissicherheit sowie organisatorischen und rechtlichen Aspekten. Beantwortung von 12 kurzen Fragen zur IT-Sicherheit. Ergebnispräsentation und Ableitung von Handlungsempfehlungen. Downloadmöglichkeit eines kostenlosen und ausführlichen Leitfadens. 12

13 Inhaltsverzeichnis Einleitung Kurzzusammenfassung Zusammensetzung der Stichprobe Sicherheitsbewusstsein in Unternehmen Organisation der IT- und Informationssicherheit in Unternehmen Maßnahmen zur Erhöhung der Internetsicherheit Gefährdungsszenarien und Risikoabschätzung Sicherheitsrisiken von mobilen Anwendungen Fazit 13

14 Kurzzusammenfassung (I) Fortschreitende Vernetzung und stetig wachsende Möglichkeiten im Internet haben dazu geführt, dass sich das Internet auch für KMU und Handwerk als wichtiges Medium für die geschäftliche Kommunikation und Interaktion etabliert hat. Die dadurch eröffneten Chancen gehen jedoch auch mit diversen Risiken einher. So nutzen etwa Viren und Trojanern ständig neue Sicherheitslücken aus, um Unternehmenssysteme anzugreifen und sensible Daten auszuspionieren. Aus diesem Grund ist es von besonderer Bedeutung, dass sich Unternehmen kontinuierlich über aktuelle Bedrohungen und Schutzmaßnahmen im Bereich der IT- und Informationssicherheit auf dem Laufenden halten. - und Informationssicherheit in Identifikation anfälliger IT-Strukturen und Prozesse zeigt sie auch auf, wie es um die Sicherheit mobiler Datenträger in Unternehmen bestellt ist. Die zugrunde liegende Online-Befragung wurde im Zeitraum 7. April bis 31. Mai 2011 durchgeführt. Die Studie basiert auf 324 verwertbaren Fragebögen. 14

15 Kurzzusammenfassung (II) Auch in der diesjährigen Erhebung ist es wieder gelungen, bundesweit besonders viele kleine Unternehmen zu erreichen. 45,2 Prozent der Unternehmen beschäftigen weniger als zehn Mitarbeiter. Die Mehrheit der Unternehmen misst der IT- und Informationssicherheit eine hohe Bedeutung bei. Im geschäftlichen Alltag wird eine hohe IT- und Informationssicherheit aber häufig einer guten Handhabbarkeit der Anwendungen untergeordnet. 60 Prozent der befragten Unternehmen informieren bzw. schulen die eigenen Mitarbeiter weniger als noch im Jahr Knapp ein Viertel der nichtschulenden Unternehmen gibt als Grund an, sich bisher noch nicht mit dem Thema beschäftigt zu haben und jedes fünfte Unternehmen verfügt über ein zu geringes Know-how. Weniger als die Hälfte der Unternehmen verfügt über eine schriftlich fixierte Sicherheitsrichtlinie, in der z. B. der unternehmensweite Umgang mit Passwörtern geregelt ist und jedes vierte Unternehmen verfügt nicht über IT-Notfallpläne. 15

16 Kurzzusammenfassung (III) Knapp die Hälfte der befragten Unternehmen orientiert sich bei ihren IT-Sicherheitsstandards nicht an den Empfehlungen des BSI-Grundschutzkataloges. Fast die Hälfte der Unternehmen stattet alle Mitarbeiter mit Administratorrechten aus oder erlaubt ihnen die Installation eigener Software, obwohl aktuelle Mitarbeiter von immerhin jedem fünften Unternehmen als die Personengruppe gesehen wird, die das höchste Sicherheitsrisiko für das Unternehmen darstellt. Bei der Betreuung systemrelevanter Komponenten wie Hard- oder Software oder des Netzwerks verlässt sich der Großteil der befragten Unternehmen auf ausgebildete Experten. Häufig werden solche Aufgaben auch an einen externen Dienstleister ausgelagert. Fast alle befragten Unternehmen erstellen regelmäßig Sicherungskopien oder Backup-Datenträger. Zwei von drei befragten Unternehmen bewahren diese auch an einem angemessen gesicherten Ort getrennt vom Server-Raum auf. 16

17 Kurzzusammenfassung (IV) Etwa jedes siebte Unternehmen erzielt einen Teil seines Umsatzes über einen Online-Shop. Jedes dritte befragte Unternehmen erzielt inzwischen über ein Viertel des jährlichen Gesamtumsatzes im Internet und jedes fünfte Unternehmen gibt an, den Geschäftsbetrieb ohne Online-Handel lediglich bis zu vier Stunden aufrecht erhalten zu können. Damit spiegeln die Ergebnisse die wachsende Bedeutung des E-Commerce für kleine und mittlere Unternehmen wider. Etwa jedes dritte Unternehmen wurde schon einmal Opfer eines erfolgreichen Angriffs auf die Internetpräsenz oder das unternehmenseigene Netzwerk. In der Hälfte der Fälle konnte keine konkrete Ursache identifiziert werden, die den Angriff begünstigt hat. In fast jedem fünften Fall war die Ursache für den Angriff unternehmensintern begründet, z. B. durch den sorglosen Umgang mit Passwörtern. Fast jeder zehnte Angriff führte bei den befragten Unternehmen zu einem monetären Schaden von mindestens Euro. 17

18 Kurzzusammenfassung (V) Auch in KMU und Handwerk haben mobile Endgeräte, wie etwa Smartphones oder mobile Datenträger, eine weite Verbreitung gefunden. Damit werden auch mobile Anwendungen immer attraktiver für Angriffe durch Viren oder Trojaner. Während Laptops noch von der Mehrheit der befragten Unternehmen zumindest mit einem aktuellen Virenschutz ausgestattet werden, werden Smartphones und Tablets nur von jedem fünften Unternehmen mit einem Virenschutzprogramm geschützt. Etwa acht Prozent der Befragten geben an, dass ihnen schon einmal mobile Endgeräte oder Datenträger mit Unternehmensdaten abhanden gekommen sind. Zwei Drittel der Unternehmen führen die Mehrzahl dieser Verluste auf Diebstahl zurück. Der Schaden, der mit dem Datenverlust einhergeht, wird von den betroffenen Unternehmen als sehr gering eingeschätzt. Jedes fünfte Unternehmen gibt sogar an, durch den Datenverlust keinen monetären Schaden erlitten zu haben. Diese Aussage ist allerdings mit Vorsicht zu genießen, da durchaus ein erheblicher Schaden entstehen kann, wenn sensible Daten in die falschen Hände gelangen oder der Verlust von Kundendaten Imageschäden oder juristische Konsequenzen nach sich zieht. 18

19 Kurzzusammenfassung (VI) - deutlich, dass IT- und Informationssicherheit für KMU und Handwerk eine große Bedeutung hat und vielfach bereits angegangen wird. Dennoch zeigt die Untersuchung auch, dass die Einhaltung sicherheitsrelevanter Maßnahmen im Alltagsgeschäft häufig einer erhöhten Handhabbarkeit geopfert wird. Insbesondere im Umgang mit mobilen Anwendungen offenbaren sich noch deutliche Optimierungspotenziale, die angegangen werden sollten, um sich auch zukünftig vor Datenverlust und Angriffen von außen erfolgreich zu schützen. Aber auch relativ einfach zu implementierende Sicherheitsmaßnahmen wie Schulungen der Mitarbeiter oder eine schriftlich fixierten Sicherheitsrichtlinie werden noch nicht von allen Unternehmen ergriffen. Dies ist vor allem einem zu geringen oder fehlenden Know-how der Unternehmen geschuldet. So bleibt Raum für weitere Optimierungen der IT- und Informationssicherheit, die insbesondere auf einer verstärkten Versorgung der KMU mit themenspezifischen Informationen basieren. Hierfür bietet das BMWi/NEG- - neutrale und fachlich fundierte Anlaufstelle. 19

20 Inhaltsverzeichnis Einleitung Kurzzusammenfassung Zusammensetzung der Stichprobe Sicherheitsbewusstsein in Unternehmen Organisation der IT- und Informationssicherheit in Unternehmen Maßnahmen zur Erhöhung der Internetsicherheit Gefährdungsszenarien und Risikoabschätzung Sicherheitsrisiken von mobilen Anwendungen Fazit 20

21 Wirtschaftszweige der teilnehmenden Unternehmen Sonstiges; 13,0% Industrie; 13,9% Von den 324 Fragebögen, die in die - und Informationssicherheit in Unternehmen Handwerk; 13,9% Handel; 11,8% enthielten 247 eine Angabe zur Branchenzugehörigkeit. In der Stichprobe sind diesen Angaben zufolge sowohl Industrie-, Handels- und Dienstleistungsunternehmen als auch Handwerksbetriebe vertreten, wobei auf den Dienstleistungssektor 47,5 % der Stichprobe entfallen. Dienstleistung; 47,5% Jedes siebte Unternehmen ist im Handwerksbereich tätig. Auf das Handelssegment entfallen immerhin knapp 12% der befragten Unternehmen. Fragentext: In welchem Wirtschaftszweig ist Ihr Unternehmen vorwiegend tätig Basis: n =

22 Breit gefächerte Branchenzugehörigkeit Hard- und Software, Internet Service Elektro und Metall Bau und Ausbau öff. Verwaltung, öff. Dienst Bildung Bekleidung, Textil, Leder Beratung Finanzdienstleistungen Reisen und Tourismus Verkehr und Transport Medizin, Gesundheitswesen Nahrungsmittel Sonstige 4,7% 4,7% 3,9% 3,0% 3,0% 2,6% 2,6% 2,1% 1,3% 14,2% 13,3% 19,3% Das Branchenspektrum der befragten Unternehmen ist sehr breit gefächert. So zeigen Unternehmen nahezu jeder Branche aktives Interesse an der Optimierung der eigenen IT- und Informationssicherheit. 25,2% Fragentext: In welcher Branche ist Ihr Unternehmen tätig Basis: n = 233 0% 5% 10% 15% 20% 25% 30% 22

23 Studie erreicht Unternehmen in allen Bundesländern 1,7% 2,1% 0,8 % 1,3% 28,8% 4,7% 2,1% 50,4% 3,8% 4,2% Die vorliegende Erhebung wurde von den bundesweit verteilten Kooperationspartnern des Verbundprojekts und weiteren Informationsplattformen maßgeblich unterstützt. Dadurch ist es gelungen, eine Stichprobe zu generieren, in der Unternehmen aller PLZ-Regionen vertreten sind. Der Schwerpunkt liegt dabei auf Unternehmen aus den Postleitzahlgebieten Null und Neun. Fragentext: Basis: n = 236 Unternehmensstandort (Hauptstandort) 23

24 Insbesondere Kleinstunternehmen sind Motor der Studie Fragentext: 8,2% bis unter 4 Mitarbeiter 22,6% 24,0% Basis: n = ,0% 16,1% 4 bis unter 10 Mitarbeiter 10 bis unter 50 Mitarbeiter 50 bis unter 100 Mitarbeiter 100 Mitarbeiter und mehr Wie viele Mitarbeiter beschäftigt ihr Unternehmen * Zur Definition von KMU siehe z. B. unter der Rubrik Mittelstand. Die Beteiligung von kleinen Unternehmen an empirischen Untersuchungen ist gemeinhin eher gering. Dementsprechend ist diese Zielgruppe mit ihren spezifischen Anforderungen bei vielen Untersuchungen unterrepräsentiert.* Mit der vorliegenden Befragung wurden jedoch viele kleine und kleinste Unternehmen erreicht. So beschäftigen 45,1 Prozent der befragten Unternehmen weniger als 10 Personen. Dies verdeutlicht die zunehmende Wichtigkeit der IT-Sicherheitsthematik auch für Kleinstunternehmen. 24

25 Unternehmensbereiche der Teilnehmer EDV u. Informationsverarbeitung 28,2% Geschäftsleitung 23,3% bereichsübergreifend 20,0% Marketing / Vertrieb / Verkauf 6,1% Unternehmensplanung / Management Forschung und Entwicklung Personalwesen Rechnungswesen / Buchhaltung Rechts- und Wirtschaftsabteilung Produkt, Fertigung und Lagerhaltung Finanzplanung Controlling 5,3% 2,9% 2,0% 1,2% 1,2% 0,8% 0,8% 0,4% Im Rahmen der Studie ist es gelungen, insbesondere Mitarbeiter der Geschäftsleitung und der IT-Fachabteilung als Umfrageteilnehmer zu gewinnen. Einkauf 0,0% Sonstiger 7,8% Fragentext: In welchem Unternehmensbereich sind Sie tätig Basis: n = 245 0% 10% 20% 30% 25

26 Computer in KMU und Handwerk weit verbreitet über 90% 57,6% 75% bis 90% 50% bis unter 75% 12,2% 8,6% Mehr als die Hälfte der befragten Unternehmen stattet über 90 Prozent der Arbeitsplätze mit Computern aus. 25% bis unter 50% 10% bis unter 25% unter 10% 6,5% 6,1% 9,0% Aspekte der IT- und Informationssicherheit betreffen somit die Mehrheit der Mitarbeiter. 0% 20% 40% 60% Fragentext: Wie viele Arbeitsplätze sind in Ihrem Unternehmen mit Computern ausgestattet Basis: n = 245 Lesebeispiel: 8,6 Prozent der befragten Unternehmen geben an, dass zwischen 50 und 75 Prozent der Arbeitsplätze mit Computern ausgestattet sind. 26

27 Inhaltsverzeichnis Einleitung Kurzzusammenfassung Zusammensetzung der Stichprobe Sicherheitsbewusstsein in Unternehmen Organisation der IT- und Informationssicherheit in Unternehmen Maßnahmen zur Erhöhung der Internetsicherheit Gefährdungsszenarien und Risikoabschätzung Sicherheitsrisiken von mobilen Anwendungen Fazit 27

28 Bedeutung von IT- und Informationssicherheit in der Unternehmenskultur 50% 40% 30% 20% 10% 0% 1,6% 1,0% keine Bedeutung 9,6% Für knapp zwei Drittel der 41,9% befragten Unternehmen spielt 34,4% das Thema der IT- und 28,9% Informationssicherheit eine große bis sehr große Rolle. 20,3% 18,8% 14,8% 28,7% sehr große Bedeutung Für so gut wie kein Unternehmen ist IT- und Informationssicherheit irrelevant. Eine permanente Schärfung des IT-Sicherheitsbewusstseins ist für die Entwicklung einer nachhaltigen Sicherheitskultur essentiell. Fragentext: Welche Bedeutung wird dem Thema IT- und Informationssicherheit in Ihrem Unternehmen beigemessen Basis: 2011: n = 311, 2010: n =

29 Sicherheit wird erhöhter Praktikabilität geopfert 50% 40% 30% 20% 14,6% 10,6% 10% 2,4% 1,6% 0% Geringe Bedeutung/ Fokus auf Funktionalität Bedeutung von IT-Sicherheit Abwägung zw. Funktionalität und Sicherheit 18,5% 44,1% 32,7% 31,5% 33,9% 10,2% Große Bedeutung/ Fokus auf Sicherheit Während 65,4 Prozent der Befragten IT- und Informationssicherheit im Allgemeinen eine große bis sehr große Bedeutung beimessen, legen nur 42,9 Prozent einen Fokus auf Sicherheit, wenn sie sich zwischen Sicherheit und Funktionalität entscheiden müssen. Sicherheitsaspekte werden zugunsten einer erhöhten Handhabbarkeit vernachlässigt Fragentext: Basis: Welchem Aspekt gäben sie bei einer Abwägung zwischen IT-Sicherheit auf der einen Seite und Funktionalität (z. B. einfache Handhabung) auf der anderen Seite den Vorzug Welche Bedeutung wird dem Thema IT- und Informationssicherheit in Ihrem Unternehmen beigemessen n = 254 (Befragte, die beide Fragen beantwortet haben) 29

30 Schulung und Information von Mitarbeitern offenbart neue Defizite % 49 % 65 % 35 % 67 % 33 % 66 % 34 % 60 % 40 % Schulung keine Schulung Die Schulungsquote liegt 2011 bei 60 Prozent. Im Jahr 2010 schulten noch 66 Prozent der Unternehmen ihre Mitarbeiter zum Thema IT- und Informationssicherheit. Diese Entwicklung ist gegenläufig zu den zunehmenden Risiken durch Internetkriminalität. Fragentext: Informieren Sie Ihre Mitarbeiter zum Thema IT- oder Informationssicherheit Basis: 2011: n = 324, 2010: n = 296, 2009: n = 149, 2008: n = 70; 2007: n =

31 Wenn Schulung der Mitarbeiter dann zumindest jährlich! mindestens einmal pro Monat mindestens einmal pro Quartal mindestens einmal pro Jahr 15,1% 22,7% 44,9% ja 59,9% nein 40,1% 23,5% 13,0% 18,3% 23,5% Noch nicht mit dem Thema beschäftigt Externe Kosten zu hoch Zu geringes Know-how Sonstiger Grund seltener als einmal pro Jahr 17,3% 21,7% Weiß nicht 31 Fragentext: Basis: n = 324 Informieren Sie Ihre Mitarbeiter zum Thema IT- oder Informationssicherheit In welchem Zeitabstand informieren/schulen Sie Ihre Mitarbeiter zum Thema Sicherheit Welches ist der Hauptgrund weshalb Sie Ihre Mitarbeiter nicht zum Thema IT-Sicherheit informieren/schulen

32 Schulungshäufigkeit noch nicht ausreichend 60% der Unternehmen informieren bzw. schulen die eigenen Mitarbeiter zum Thema Sicherheit und schärfen so das Sicherheitsbewusstsein ihrer Mitarbeiter. Damit ist die Schulungsquote erneut rückläufig. Immerhin 82,7% der schulenden Unternehmen führen die Maßnahme regelmäßig mindestens einmal jährlich durch. Mangelndes Know-how scheint das größte Hemmnis zu sein. Knapp ein Viertel der nicht schulenden Unternehmen gab als Grund an, sich noch nicht mit der Thematik auseinandergesetzt zu haben. Zu geringes Know-How als Grund für unterlassene Schulungen gaben 18,3% an. Schulungen der Mitarbeiter sind essentiell, um ein hohes IT-Sicherheitsniveau zu erreichen. Werden Mitarbeiter nicht zum Thema Sicherheit geschult oder zumindest informiert, setzen sich Unternehmen einem erheblichen Risiko aus. 32

33 Inhaltsverzeichnis Einleitung Kurzzusammenfassung Zusammensetzung der Stichprobe Sicherheitsbewusstsein in Unternehmen Organisation der IT- und Informationssicherheit in Unternehmen Maßnahmen zur Erhöhung der Internetsicherheit Gefährdungsszenarien und Risikoabschätzung Sicherheitsrisiken von mobilen Anwendungen Fazit 33

34 Verantwortlichkeit für IT- und Informationssicherheit meist klar geregelt Die Mehrheit der Unternehmen hat die Verantwortlichkeit für IT- und Informationssicherheit klar geregelt. In jedem vierten Unternehmen ist IT- und Informationssicherheit Chefsache. 13,7 Prozent haben keinen konkreten Verantwortlichen benannt. 3,1% 26,5% 13,7% Sicherheitsbeauftragter 11,3% 28,9% 16,5% IT-Leiter / Leiter Rechenzentrum IT-Administrator Management / Unternehmer selbst Nicht-IT-Mitarbeiter kein konkreter Verantwortlicher Fragentext: Basis: n = 291 Wer ist für den Bereich IT- und Informationssicherheit verantwortlich 34

35 Immer mehr Unternehmen verfügen über eine IT-Sicherheitsrichtlinie % 40% 56,9% 57,3% 56,0% 40,8% 46,4% 37,5% 37,1% 35,8% Der Anteil der Unternehmen, die über eine schriftlich fixierte IT-Sicherheitsrichtlinie verfügen, ist seit 2010 deutlich gestiegen. Allerdings verfügen immer noch 40,8 Prozent der befragten Unternehmen nicht über eine IT-Sicherheitsrichtlinie. 20% 0% 12,7% 8,2% 5,6% 5,2% nein ja weiß nicht Die Unternehmen erkennen zunehmend die Bedeutung schriftlich fixierter Richtlinien, es ist aber noch weitere Aufklärungsarbeit nötig. 35 Fragentext: Liegen in Ihrem Unternehmen die folgenden Dokumente zum Thema IT-Sicherheit vor IT-Sicherheitsrichtlinie Basis: 2011: n = 245, 2010: n = 248, 2009: n = 427, 2008: n = 195;

36 Schriftlich fixierte IT-Notfallpläne sind Mangelware ja, jährlich aktualisiert ja, jedoch nicht regelmäßig aktualisiert 17,8% 42,8% Gut 60% der Unternehmen verfügen über IT-Notfallpläne. Die Mehrheit dieser Unternehmen verzichtet jedoch auf eine regelmäßige Aktualisierung der Notfallpläne. nein 25,0% Jedes vierte Unternehmen hat keinen IT-Notfallplan. weiß nicht 14,4% 0% 20% 40% 60% Im Falle eines Systemausfalls liegen keine verbindlichen Handlungsanleitungen vor. Fragentext: Liegen in Ihrem Unternehmen die folgenden Dokumente zum Thema IT-Sicherheit vor Basis: n =

37 Der BSI-Grundschutzkatalog bei KMU meist nicht in der Anwendung ja, es liegt eine ISO Zertifizierung vor 6,3% Ein großer Teil der Unternehmen orientiert sich bislang noch nicht an den Empfehlungen des BSI. ja, wir orientieren uns am BSI-Grundschutzkatalog 23,6% Nur eine Minderheit verfügt über eine Zertifizierung nach ISO nein weiß nicht 27,5% 42,6% Eindeutig definierte und praktizierte IT-Sicherheitsstandards sind jedoch essentiell für eine Reduzierung des Risikos. 0% 25% 50% Fragentext: Finden IT-Sicherheitsstandards entsprechend des BSI-Grundschutzkatalogs Anwendung Basis: n =

38 Test für den Ernstfall Penetrationstests kaum durchgeführt Nein 72,5% Unter einem Penetrationstest ist eine simulierte Attacke auf die IT-Infrastruktur zur Ermittlung ihrer Empfindlichkeit gegenüber solchen Attacken zu verstehen. Ja, durch unternehmenseigene IT- Verantwortliche 15,2% Beinahe drei Viertel der Unternehmen haben noch keinen Penetrationstest durchgeführt und konnten daher keine konkreten Schwachstellen identifizieren. Ja, durch externen Dienstleister 12,3% Diese Unternehmen weisen damit eine höhere Verwundbarkeit gegenüber Angriffen auf Ihre IT-Infrastruktur auf. 0% 25% 50% 75% 100% Fragentext: Wurde in Ihrem Unternehmen bereits ein Penetrationstest durchgeführt Basis: n =

39 Externe Expertise bei anspruchsvollen Systemkomponenten gerne gesehen Alle genannten Aspekte werden unternehmensintern abgewickelt Realisierung der Website* Betreuung der Web-/ -Server Betreuung der Firewall Betreuung des Netzwerks Betreuung der Datei-/ Datenbank-Server Betreuung der Software Externer Datenschutzbeauftragter Schulung der Mitarbeiter Realisierung des Online-Shops* 19,7% 30,1% 33,6% 15,3% 28,8% 28,1% 15,3% 25,8% 26,5% 14,5% 22,7% 22,4% 15,1% 11,6% 19,6% 9,0% 4,7% 9,0% 5,3% 12,7% 8,4% 27,4% 27,1% 40,3% 35,8% Gut 27% der Befragten wickeln die Betreuung technischer Komponenten und die Schulung von Mitarbeitern komplett unternehmensintern ab. Insbesondere netzwerkbedingte Aufgaben werden ausgelagert. Der eigene Online-Shop, die Schulung der Mitarbeiter sowie die Stelle des Datenschutzbeauftragten bleiben meist Unternehmenssache. 39 Fragentext: 0% 10% 20% 30% 40% 50% Welche der folgenden Punkte (sofern vorhanden) haben Sie an einen Dienstleister ausgelagert (Mehrfachnennungen möglich), * Frage 2011 erstmalig gestellt Basis: 2011: n = 299, 2010: n = 262, 2009: n = 434

40 Denn sie wissen (nicht) was sie tun Betreuung der IT ohne sicherheitsspezifische Kenntnisse IT-Software 35,1% 22,0% 23,6% 7,3% 12,0% ja, durch Berufsausbildung IT-Hardware 33,7% 21,7% 24,4% 8,1% 12,0% Netzwerk 34,9% 23,9% 23,9% 6,7% 10,6% Online-Shop 17,6% 23,5% 32,4% 5,9% 20,6% Website 29,2% 18,8% 25,0% 11,9% 15,0% 0% 20% 40% 60% 80% 100% ja, durch entspr. Abschlüsse und Zertifizierungen ja, durch Quereinstieg und Weiterbildung nein, keine sicherheitsspezifischen Kenntnisse vorhanden weiß nicht Im Falle systemrelevanter Komponenten wie Hard- und Software oder dem Netzwerk greifen die befragten Unternehmen primär zu ausgebildeten Experten. Die Betreuung der Website wird in 11,9% der Fälle von Personen ohne sicherheitsspezifischen Kenntnissen übernommen. Gerade diese Komponente, an der Schnittstelle zwischen Unternehmen und Öffentlichkeit, bietet oft jedoch eine Angriffsmöglichkeit. Fragentext: Basis: n = 260 Verfügen die mit der Betreuung der jeweiligen Komponenten beauftragten Mitarbeiter oder Dienstleister über sicherheitsspezifische Kenntnisse 40

41 Zugriffsbeschränkungen am PC (I): Hardware und Laufwerke USB-Anschlüsse sind komplett deaktiviert 6,2% 6,2% 4,5% 9,5% Zugriff auf USB-Anschlüsse nur mit registrierten Geräten 5,1% 8,4% 13,8% Zugriff auf Laufwerke nur mit Freigabe durch Administrator 14,5% 17,7% 17,1% 19,6% 0% 5% 10% 15% 20% 25% 41 Fragentext: Welche IT-Zugriffsbeschränkungen finden bei PCs in Ihrem Unternehmen Anwendung (Mehrfachnennungen möglich) Basis: 2011: n = 290, 2010: n = 226, 2009: n =356, 2008: n = 158

42 Zugriffsbeschränkungen am PC (II): Rechteverwaltung und Datensicherheit ja nein Administratorenrechte erhalten nur die für die Betreuung des IT-Systems Verantwortlichen Software-Installationen können nur vom Administrator durchgeführt werden 61,0% 57,9% 39,0% 42,1% Nicht registrierte Hardwarekomponenten oder mobile Endgeräte erhalten keinen Zugang zum Netzwerk 28,3% 71,7% Bestimmte Daten sind nicht allgemein zugänglich Bestimmte Internetinhalte oder -anwendungen sind gesperrt 61,0% 73,8% 39,0% 26,2% Arbeitsplätze mit Zugang zu besonders sensiblen Daten verfügen über keinen Internetzugriff 19,3% 80,7% 0% 20% 40% 60% 80% 100% 42 Fragentext: Basis: n = 290 Welche IT-Zugriffsbeschränkungen finden bei PCs in Ihrem Unternehmen Anwendung (Mehrfachnennungen möglich)

43 Zugriffsbeschränkungen schützen vor leicht vermeidbaren Risiken In knapp 14 Prozent ist der Zugriff auf USB-Anschlüsse nur mit registrierten Geräten möglich. Im Vergleich zu 2009 und 2010 erkennen die Unternehmen zunehmend die Gefahr, die von mobilen Datenträgern ausgeht, hier besteht dennoch Nachholbedarf bei den befragten Unternehmen. Jeweils ca. 60 Prozent der Unternehmen vergeben Administratorrechte ausschließlich an IT-Verantwortliche und lassen auch nur diese Softwareinstallationen durchführen. Dies bedeutet zugleich, dass 40 Prozent der Unternehmen Administratorenrechte auch an nicht IT-Verantwortliche vergeben. Bei 42,1 Prozent der Unternehmen können alle Mitarbeiter ob geschult oder ungeschult Softwareinstallationen vornehmen. In 73 Prozent der Unternehmen sind bestimmte Daten nicht allgemein zugänglich. 19,3 Prozent der Unternehmen schützen ihre Daten zudem dadurch, dass Arbeitsplätze mit besonders sensiblen Daten nicht über eine Internetverbindung verfügen. 43

44 Inhaltsverzeichnis Einleitung Kurzzusammenfassung Zusammensetzung der Stichprobe Sicherheitsbewusstsein in Unternehmen Organisation der IT- und Informationssicherheit in Unternehmen Maßnahmen zur Erhöhung der Internetsicherheit Gefährdungsszenarien und Risikoabschätzung Sicherheitsrisiken von mobilen Anwendungen Fazit 44

45 Fast alle Unternehmen verfügen über eine eigene Webseite Ja, in Form einer kompakten Unternehmensdarstellung 69,3% 77,9% 72,9% Die große Mehrheit der befragten Unternehmen ist auch im Internet vertreten. Ja, in Form einer Unternehmensdarstellung mit Online-Shop 14,4% 21,9% 23,0% 14,4% der befragten Unternehmen verfügen über einen eigenen Online-Shop. Nein, wir verfügen über keine Internetpäsenz 7,7% 5,2% 7,7% Für fast alle Unternehmen spielt das Thema Internetsicherheit eine große Rolle. 0% 20% 40% 60% 80% Fragentext: Hat Ihr Unternehmen eine eigene Webseite Basis: 2011: n = 299, 2010: n = 251, 2009: n =

46 Steigende Bedeutung der Online- Umsätze 50% 40% 30% 20% 10% 0% 46 11,1% 42,6% 0,0% 14,8% 14,8% Ein steigender Anteil von 48,1% Unternehmen erzielt wachsende Online-Umsätze. 30,3% 25,9% 16,4% 33,4% bis unter 1% 1% bis unter 5% 5% bis unter 25% Fragentext: 26,2% 36,1% 25% und mehr Vor allem der Anteil der Unternehmen, die 5 % bis 25 % ihrer Umsätze über den Online-Shop erzielten, wächst. Etwa 27 Prozent der Befragten erzielen sogar mehr als die Hälfte des Umsatz über ihren Online-Shop. Welchen Anteil an Ihrem Gesamtumsatz erzielten Sie im vergangenen Jahr über Ihren Online-Shop Basis: 2011: n = 33, 2010: n = 81, 2009: n = 81 Digitale Angriffe auf den Online-Shop können zu erheblichen Umsatzeinbußen führen.

47 Gütesiegel für den Online-Shop als vertrauensbildende Maßnahme in KMU noch nicht weit verbreitet 47 TÜV Süd EHI Gepüfter Online-Shop Nein, der Shop ist nicht mit einem Gütesiegel zertifiziert Fragentext: Trusted Shops Sonstiges Gütesiegel 2,8% 3,7% 2,1% 5,6% 13,0% 1,1% 5,6% 3,7% 25,0% 16,7% 19,1% 20,2% ,9% 64,8% 57,4% 0% 20% 40% 60% 80% Haben sie Ihren Onlineshop mit einem Gütesiegel zertifiziert (Mehrfachnennungen möglich) Basis: 2011: n = 36, 2010: n = 55, 2009: n = 94 Knapp zwei Drittel der Online-Shops sind nicht mit einem Gütesiegel zertifiziert. Die Mehrheit der Unternehmen verzichtet somit auf eine externe Überprüfung und Zertifizierung des Online- Shops und der damit verbundenen Sicherheitsmaßnahmen. 25 Prozent der Unternehmen verwenden die Zertifizierung von Trusted Shops.

48 Sichere Datenübertragung durch Verschlüsselung des Online-Shops 80% 60% 40% 20% 0% 79,3% 75,0% ,0% 25,9% 13,0% 11,1% 12,5% 12,5% 7,6% ja nein weiß nicht Um eine sichere Datenübertragung via Internet zu gewährleisten, sollten Verschlüsselungstechniken, wie z. B. SSL, eingesetzt werden. Drei Viertel der Unternehmen greifen auf eine verschlüsselte Datenübertragung im Rahmen ihres Online-Shops zurück. Jedes achte Unternehmen verzichtet jedoch auf Verschlüsselung und läuft somit Gefahr, dass Kundendaten von Dritten missbräuchlich verwendet werden können. 48 Fragentext: Verwenden Sie in Ihrem Online-Shop eine Verschlüsselungstechnik Basis: 2011: n = 40, 2010: n = 54, 2009: n = 92

49 Inhaltsverzeichnis Einleitung Kurzzusammenfassung Zusammensetzung der Stichprobe Sicherheitsbewusstsein in Unternehmen Organisation der IT- und Informationssicherheit in Unternehmen Maßnahmen zur Erhöhung der Internetsicherheit Gefährdungsszenarien und Risikoabschätzung Sicherheitsrisiken von mobilen Anwendungen Fazit 49

50 Datensicherheit: In jedem fünften Unternehmen werden Backup- Datenträger nicht sicher gelagert Backup-Datenträger oder Sicherungskopien werden an einem angemessen gesicherten und vom Server-Raum getrennten Ort gelagert Backup-Datenträger oder Sicherungskopien werden im Server- Raum gelagert Wir erstellen keine Sicherheitskopien oder Backup-Datenträger Weiß nicht 20,4% 14,3% 15,9% 1,5% 3,7% 4,5% 10,9% 8,2% 8,3% 67,2% 73,9% 71,3% Fast kein Unternehmen verzichtet komplett auf Sicherungskopien. Allerdings steigt der Anteil der Unternehmen, die Backups im Serverraum lagern und damit ein nicht unerhebliches Risiko, z. B. im Brandfall eingehen. Zwei Drittel verwahren die Datensicherungen angemessen und gewährleisten so höchst mögliche Datensicherheit. 50 Fragentext: 0% 20% 40% 60% 80% 2011: Wie wird in Ihrem Unternehmen mit Sicherungskopien oder Backup-Datenträgern verfahren 2010, 2009: Werden Ihre Backup-Datenträger (Sicherheitskopien) an einem angemessenen Ort und getrennt vom Server-Raum aufbewahrt Basis: 2011: n = 274, 2010: n = 245, 2009: n = 397

51 Datensicherheit: Jedes zehnte Unternehmen hat Datenwiederherstellung noch nie getestet 46,9% 55,0% ja 50,1% 63,4% 50,9% 27,7% 27,7% teilweise 20,3% 20,0% 27,4% 11,1% 11,3% nein 22,0% ,9% 13,7% ,4% ,9% 2008 Weiß nicht 7,6% 5,7% ,0% 0% 20% 40% 60% 80% Weniger als die Hälfte der Unternehmen geben an, eine vollständige Wiederherstellung von Daten schon einmal überprüft zu haben. Hier zeigt sich eine abnehmende Tendenz. Jedes vierte Unternehmen hat die Datenwiederherstellung zumindest teilweise überprüft. Jedes zehnte Unternehmen hat die Datenwiederherstellung bislang noch nicht getestet. Ohne testweise Wiederherstellung laufen Unternehmen Gefahr, bei einem Systemausfall Daten endgültig zu verlieren. 51 Fragentext: Wurde schon einmal überprüft, ob die Wiederherstellung eines Datenbestandes mit den vorhandenen Sicherheitskopien realisierbar ist Basis: 2011: n = 271, 2010: n = 238, 2009: n = 395, 2008: n = 175, 2007: n = 212

52 Datensicherheit: Datenverlust leider kein seltenes Phänomen ja; 21,0% nein; 79,0% Jedes fünfte Unternehmen hat bereits einmal endgültig Daten verloren. 18,6 Prozent der Unternehmen mit angemessen gesicherten Backups erlitten bereits einen Datenverlust. Bei den Unternehmen ohne Backup- Datenträger waren dies 25 Prozent, bei nicht angemessen gesicherten Backups 25,5 Prozent. Eine Sicherung der Daten und eine angemessene Verwahrung der Backup-Datenträger kann das Risiko des Datenverlustes reduzieren. Fragentext: Hat Ihr Unternehmen schon einmal infolge eines Crashs oder eines Datenträger- bzw. Geräteverlusts wesentliche Daten verloren Basis: n =

53 Risikofaktor Mensch: Gefährdung durch Zugang zu IT-Infrastruktur Ja, zeitweise ohne Aufsicht Ja, nur unter permanenter Aufsicht Fragentext: Nein, kein Zutritt 15,9% 23,3% 22,2% 28,3% 21,1% 41,2% 44,5% 43,9% 50,6% 43,0% 32,2% 33,9% % 20% 40% 60% Haben betriebsfremde Personen Zutritt zu Ihren Räumlichkeiten Basis: 2011: n = 277, 2010: n = 245, 2009: n = 378, 2008: n = 166 Der Anteil der Unternehmen, der betriebsfremden Personen ohne Aufsicht Zutritt zu den Räumlichkeiten gewährt, sinkt auf 15,9 Prozent. Der Anteil der Unternehmen, der jeglichen Zutritt verweigert, steigt auf 43 Prozent. Unternehmen erkennen zunehmend die Gefahr, die von betriebsfremden Personen ausgehen kann. 53

54 Risikofaktor Mensch: Externe Dritte als Personengruppe mit dem höchsten Sicherheitsrisiko Externe, ohne Beziehung zum Unternehmen Aktuelle Mitarbeiter Konkurrenten/Mitbewerber Ehemalige Mitarbeiter Geschäftspartner Andere 25,8% 19,8% 16,3% 14,7% 21,5% 11,1% 24,5% 2,3% 4,3% 16,6% 7,7% 35,5% Unternehmensfremde Personen, ohne Beziehung zum Unternehmen, werden mit Abstand als größte Bedrohung gesehen sah noch jedes vierte Unternehmen ehemalige Mitarbeiter als größte Gefahrenquelle an schließt sich dieser Meinung nur noch jedes zehnte Unternehmen an. 0% 10% 20% 30% 40% 54 Fragentext: Bei welchen der folgenden Personengruppen schätzen Sie das Sicherheitsrisiko für Ihr Unternehmen am höchsten ein Basis: 2011: n = 217, 2010: n = 233

55 Digitale Attacken: Schadenspotenzial im Bereich Software und Kundendaten am höchsten Sabotage der Software und IT Diebstahl oder Manipulation von Kundendaten Manipulation von Finanzdaten Wirtschaftsspionage/ Wirtschaftskriminalität Diebstahl von Patenten oder Informationen über Produkte Diebstahl oder Manipulation von Mitarbeiterdaten 11,5% 7,9% 9,0% 11,4% 7,5% 13,2% 2,5% 2,6% 35,0% 24,6% 34,5% 40,4% Über die Jahre schätzen die Unternehmen das Schadenspotenzial durch Diebstahl oder Manipulation von Kundendaten besonders hoch ein. In zunehmendem Maße fürchten Unternehmen auch den Schaden, der durch eine Sabotage von Software und IT entsteht. 0% 25% 50% 55 Fragentext: In welchen der folgenden Bereiche schätzen Sie das Schadenpotenzial eines Angriffs auf Ihr Unternehmen (Manipulation oder Diebstahl) am höchsten ein Basis: 2011: n = 200, 2010: n = 228

56 Digitale Attacken: KMU im Fadenkreuz Unternehmen, die mehrfach angegriffen wurden Ja, in diesem Jahr (Januar bis Mai 2011) 7,6% im aktuellen Jahr 1,9% Ja, im vergangenen Jahr 11,4% im vergangenen Jahr 3,1% Ja, vor dem vergangenen Jahr 12,5% vor dem vergangenen Jahr 3,8% 56 Fragentext: Basis: n = 272 Wurde Ihr Unternehmen bereits Opfer von digitalen Angriffen, sowohl in Bezug auf die Internetpräsenz als auch auf das unternehmensinterne Computernetzwerk

57 Digitale Attacken: Ursachen Es konnten keine konkreten Faktoren identifiziert werden Externe technische Faktoren, z. B. Sicherheitslücken in der Website-Software Unternehmensinterne Faktoren, z. B. sorgloser Umgang mit Passwörtern Bekanntheit des Unternehmens 5,8% 17,3% 34,6% 46,2% 0% 20% 40% 60% In beinahe der Hälfte der Fälle konnte keine konkrete Ursache identifiziert werden. Dementsprechend kann vergleichbaren zukünftigen Angriffen auch nicht wirksam begegnet werden. Nur knapp 6 Prozent geben an, dass die Bekanntheit des Unternehmens den Angriff begünstigt habe. Nicht nur namhafte und große Unternehmen werden Opfer eines digitalen Angriffs, auch KMU sind im Visier der Angreifer. Fragentext: 2011: Welche wesentlichen Faktoren haben den Angriff / die Angriffe begünstigt Basis: n = 52 57

58 Digitale Attacken: Konsequenzen der Attacken Technischer Schaden an der IT- Infrastruktur Datenverlust / Datenmanipulation Manipulation der Unternehmens- Website oder des Online-Shops Ausspähung von Unternehmensdaten Sonstige keine Konsequenzen ersichtlich Fragentext: Basis: n = 52 7,7% 13,5% 11,5% 21,2% 17,3% 42,3% 0% 10% 20% 30% 40% 50% Welche Konsequenzen konnten Sie den Angriffen zuordnen Gut jedes fünfte Unternehmen erlitt technischen Schaden an der IT-Infrastruktur. 17,3 Prozent stellen einen Datenverlust oder eine Datenmanipulation fest und bei 13,5 Prozent wurde die Webseite oder der Online-Shop manipuliert. Bei jedem zehnten Unternehmen wurden Unternehmensdaten ausgespäht. Als sonstige Konsequenzen wurden angegeben: Nutzung als Datenserver, Sperrung durch Provider wg. Spamversand, Systemausfall. 58

59 Digitale Attacken: Monetärer Schaden < ,5% 59,1% Knapp 60 Prozent der angegriffenen Unternehmen erlitten einen Verlust von unter 1.000, z. B. durch den Austausch beschädigter IT-Infrastruktur ,3% Fast jedes zehnte Unternehmen erlitt einen Schaden von mindestens Euro. > ,1% 0% 20% 40% 60% 80% Ein solcher Schaden kann besonders für KMU unter Umständen existenzbedrohend sein. Fragentext: Können Sie den geschätzten Schaden durch die registrierten Angriffe ungefähr beziffern Basis: n = 44 59

60 Digitale Attacken: Auch KMU werden zunehmend Opfer von digitalen Attacken 7,6 Prozent der befragten Unternehmen sind in den ersten 5 Monaten des Jahres 2011 bereits Opfer eines digitalen Angriffs geworden. Im gesamten vergangenen Jahr wurden 11,4 Prozent der Unternehmen erfolgreich angegriffen. Nur sehr wenige Unternehmen wurden bereits mehrfach angegriffen. Externe Faktoren, wie Sicherheitslücken in der Software, haben in jedem dritten Fall den Angriff begünstigt. Allerdings sind in über 17 Prozent interne Faktoren, z. B. nachlässiger Umgang mit IT-Sicherheitsstandards, ausschlaggebend gewesen. In fast der Hälfte der Fälle konnte keine konkrete Ursache für den Angriff identifiziert werden. Dies ist insofern problematisch als dass ohne eine konkrete Ursache auch keine entsprechenden Gegenmaßnahmen ergriffen werden können, um zukünftige Angriffe zu vermeiden. Meist waren Schäden an der IT-Infrastruktur oder eine Datenmanipulation die Konsequenz eines solchen Angriffs. Auch wenn der Großteil der Unternehmen mit einem geringen Schaden bis Euro davon gekommen ist, kam es doch bei jedem zehnten Unternehmen zu Schäden von mindestens Euro für KMU eine existenzbedrohende Schadenshöhe. 60

61 Systemausfall: Die Verwundbarkeit gegenüber einem Ausfall digitaler Dienste ist erheblich weniger als eine Stunde bis zu vier Stunden bis zu einem Tag bis zu einer Woche mehr als eine Woche Eigener File-Server 35,1% 29,9% 20,4% 9,0% 5,7% Telefon 25,8% 33,5% 35,4% 3,5% 1,9% Eigenes ERP-System 24,6% 28,0% 26,3% 10,9% 10,3% Eigener Online-Handel 11,0% 8,5% 15,3% 15,3% 50,0% Eigener Internetauftritt 10,0% 6,3% 29,3% 32,6% 21,8% Buchhaltung 9,8% 13,2% 32,5% 28,2% 16,2% 9,6% 23,1% 51,9% 11,5% 3,8% Internetrecherche 7,1% 17,9% 39,3% 25,0% 10,7% 0% 20% 40% 60% 80% 100% 61 Fragentext: Basis: 118 Wie lange kann Ihr Unternehmen ohne folgende Dienste arbeiten

62 Systemausfall: Eigener File-Server wichtiger als Telefonanlage 8 Eigener Onlinehandel Telefon 1 Eigener File-Server 3 Eigenes ERP- System 5 Buchhaltung Internetrecherche 7 Eigener Internetauftritt 62 Lesebeispiel: Fragentext: Basis: 118 Ohne den eigenen File-Server können die Unternehmen den Geschäftsbetrieb am kürzesten aufrechterhalten. Wie lange kann Ihr Unternehmen ohne folgende Dienste arbeiten

63 Systemausfall: kleine Ursache, große Wirkung Die Ergebnisse zeigen, dass auch kleine und mittlere Unternehmen und das Handwerk auf funktionierende Kommunikationsmittel und Datenzugänge angewiesen sind, um eine reibungslose und erfolgreiche Abwicklung ihrer Geschäftsprozesse zu gewährleisten. Besonders schlimm ist der Ausfall von File-Servern, der Telefonanlage, des ERP-Systems und -Systems, da der Geschäftsbetrieb in den meisten Fällen dann weniger als einen Tag aufrecht erhalten werden kann. Bereits relativ kurze Ausfallzeiten können die Geschäftstätigkeit eines Unternehmens massiv einschränken oder gar unmöglich machen. Gerade Unternehmen, die nennenswerte Umsätze über ihren Online-Handel generieren, können ihren Geschäftsbetrieb ohne diesen nur über kurze Zeit aufrecht erhalten. 63

64 Inhaltsverzeichnis Einleitung Kurzzusammenfassung Zusammensetzung der Stichprobe Sicherheitsbewusstsein in Unternehmen Organisation der IT- und Informationssicherheit in Unternehmen Maßnahmen zur Erhöhung der Internetsicherheit Gefährdungsszenarien und Risikoabschätzung Sicherheitsrisiken von mobilen Anwendungen Fazit 64

65 Mobile Endgeräte sind inzwischen weit verbreiteter Standard ja, auch anderen Mitarbeitern 37,6% Nein, nur der Geschäftsleitung 41,9% 37,6% der Unternehmen stellen grundsätzlich Mitarbeitern aller Bereiche mobile Endgeräte zur Verfügung. Gut ein Fünftel dieser Unternehmen stattet mehr als 90% seiner Mitarbeiter mit mobilen Endgeräten aus. ja, aber nur Außendienstmitarbeitern 20,5% Mobile Endgeräte sind weit verbreitet und stellen ein potenzielles Risiko dar. Fragentext: Stehen den Mitarbeitern Ihres Unternehmens mobile Endgeräte zur Verfügung Basis: n =

66 Mobile Endgeräte häufig nicht ausreichend geschützt Sperrung gefährderter Applikationen Deaktivierte Infrarot- Schnittstelle Deaktivierte Bluetooth- Schnittstelle Verschlüsselung WLAN Personal Firewall Aktueller Virenschutz 6,0% 9,9% 7,0% 15,5% 14,8% 12,0% 7,4% 20,1% 19,4% 13,4% 7,7% 22,9% 14,1% 23,9% 19,7% 2,5% 9,9% 13,0% 4,2% 14,8% 20,8% Mobiltelefon Smartphone PDA, Organizer, Tablet PC Laptop 55,3% 50,0% 74,6% Bei weitem nicht alle internetfähigen Geräte verfügen über einen aktuellen Virenschutz oder eine Firewall. Nur eine Minderheit nutzt die Verschlüsselungsoption für WLAN. Ein hoher Anteil von Unternehmen geht durch internetfähige, unzureichend geschützte mobile Geräte erhebliche Sicherheitsrisiken ein. 66 Fragentext: Basis: n = 284 0,0% 20,0% 40,0% 60,0% 80,0% Welche Schutzmaßnahmen werden für die in Ihrem Unternehmen vorhandenen mobilen Endgeräte ergriffen

67 Sicher mobil unterwegs Vielfach nicht! Passwort-/ PIN-Schutz Datenverschlüsselung ja, alle 74,4% ja, sämtliche Daten 19,4% ja, teilweise 15,9% teilweise, nur besonders wichtige Daten 29,3% nein 3,3% nein 37,6% weiß nicht 6,5% weiß nicht 13,6% 0% 20% 40% 60% 80% 0% 20% 40% 19,2% der Unternehmen verzichten auf einen umfassenden Passwort- oder PIN-Schutz ihrer mobilen Endgeräte. 48,7% verschlüsseln (mindestens teilweise) ihre dort gespeicherten Daten, während die andere Hälfte Unternehmensdaten unverschlüsselt speichert. 67 Fragentext: Sind die mobilen Endgeräte durch Passwort oder PIN geschützt/werden die Daten auf den mobilen Geräten verschlüsselt gespeichert Basis: n = 246/ n = 242

68 Jedes zwölfte Unternehmen hat im letzten Jahr mobile Endgeräte verloren 8% 6% 4% 2% 0% ein Mal 1,2% zwei Mal drei Mal mehr als drei Mal Der Verlust mobiler Endgeräte und Datenträger stellt auch für kleine und mittlere Unternehmen ein nicht 6,1% zu vernachlässigendes Risiko dar. Der mehrfache Verlust von mobilen Geräten ist jedoch eher die Seltenheit. 0,8% 0,0% In keinem der befragten Unternehmen kamen mobile Datenträger im letzten Jahr häufiger als drei Mal abhanden. 68 Fragentext: Basis: n = 244 Wie häufig kamen im letzten Jahr mobile Endgeräte oder Datenträger mit Unternehmensdaten außerhalb Ihres Unternehmens abhanden

69 Diebstahlbedingter Verlust herrscht vor über die Hälfte 64,7% keiner 17,6% bis zur Hälfte 17,6% 17,6% geben an, dass kein Verlust auf Diebstahl zurückzuführen ist. Dies bedeutet, dass Verluste ausschließlich das Resultat persönlicher Nachlässigkeiten sind. Knapp zwei Drittel der Unternehmen geben an, dass mehr als die Hälfte diebstahlbedingte Verluste sind. Um Schäden durch gestohlene oder verlorene Datenträger zu vermeiden, ist eine gesteigerte Achtsamkeit der Mitarbeiter sowie ein adäquater Schutz der Geräte, bspw. durch Verschlüsselung der gespeicherten Daten, erforderlich. Fragentext: Wie viele dieser Vorfälle sind auf Diebstahl zurückzuführen Basis: n = 34 69

70 Verlust eines mobilen Endgeräts oder Datenträgers kann teuer werden Unmittelbarer materieller Verlust (Wiederbeschaffungskosten) 45,7% 37,1% 11,4% 5,7% kein Verlust < > Verlust durch abhanden gekommene Daten 20,0% 68,6% 8,6% 2,9% 70 Fragentext: Basis: n = 35 Wie hoch ist der geschätzte Schaden durch den Verlust von mobilen Endgeräten oder Speichermedien, den Ihr Unternehmen erlitten hat

71 Mobile IT: Licht und Schatten Laptops, Smartphones und mobile Datenträger sind auch aus dem Arbeitsalltag von KMU und Handwerk nicht mehr wegzudenken. Obwohl dies der Fall ist, bleibt häufig eine adäquate Sicherung dieser Geräte aus. WLAN-Netzwerke sollten zum Schutz vor Manipulation und Fremdzugriff ausschließlich verschlüsselt betrieben werden. Lediglich bei Laptops verschlüsseln gut die Hälfte der Unternehmen die WLAN-Verbindung. Bei anderen mobilen Endgeräten bleibt eine Verschlüsselung meist aus. Enthalten mobile Endgeräte wesentliche Geschäfts- oder Kundendaten sollten diese möglichst verschlüsselt oder zumindest das Gerät selbst passwortgeschützt sein. Smartphones, heute leistungsfähige Computer im Kleinstformat, sollten wie Computer auch durch einen Virenschutz abgesichert werden. Bislang schützen nur 14,8 % der befragten Unternehmen ihre Smartphones mit einem Virenschutzprogramm. Insbesondere der tatsächliche physische Verlust eines mobilen Endgeräts oder Datenträgers kann bei zunehmender Verbreitung der Geräte auch KMU und Handwerk empfindlich treffen. 71

72 Inhaltsverzeichnis Einleitung Kurzzusammenfassung Zusammensetzung der Stichprobe Sicherheitsbewusstsein in Unternehmen Organisation der IT- und Informationssicherheit in Unternehmen Maßnahmen zur Erhöhung der Internetsicherheit Gefährdungsszenarien und Risikoabschätzung Sicherheitsrisiken von mobilen Anwendungen Fazit 72

73 Fazit (I) - dass nicht nur bekannte Unternehmen, sondern zunehmend auch kleine und mittlere Unternehmen Opfer digitaler Angriffe werden. Daher ist die Sicherheit der Informations- und Kommunikationstechnik auch für KMU und Handwerk ein wichtiges Thema. Insbesondere kleine und kleinste Unternehmen stehen aber aufgrund mangelnder Ressourcen vor der Herausforderung, gleichzeitig ein hohes Sicherheitsniveau und eine leichte Handhabbarkeit im Alltag zu etablieren. Die Untersuchung zeigt, dass sich KMU und Handwerk zunehmend mit dem Thema IT- und Informationssicherheit auseinandersetzen, in der konkreten Umsetzung allerdings häufig noch Nachholbedarf besteht. Auch wenn die Mehrheit der Unternehmen bislang von einem Angriff auf ihre Webseite oder das Unternehmensnetzwerk verschont blieb, wurden zwischen Januar und Mai 2011 bereits 7,6 Prozent der Befragten Opfer eines erfolgreichen digitalen Angriffs. Dabei konnte in fast der Hälfte der Fälle keine Ursache für den Angriff identifiziert werden, so dass auch keine adäquaten Gegenmaßnahmen getroffen werden können. In jedem dritten Fall war die Ursache extern begründet. Alarmierend ist, dass die Ursache in 17,3 Prozent der Fälle unternehmensintern zu finden war. Dies zeigt, wie wichtig eine umfassende und kontinuierliche Information der Mitarbeiter ist, beispielsweise durch Schulungen und schriftlich fixierte Sicherheitsrichtlinien. 73

74 Fazit (II) Der Anteil der Unternehmen, die ihre Mitarbeiter zum Thema IT- und Informationssicherheit schulen, ist im Vergleich zum Vorjahr rückläufig. Nach wie vor ist ein Informationsdefizit die größte Barriere für eine regelmäßige Schulung. IT-Sicherheitsschulungen können aber dazu beitragen, das Sicherheitsbewusstsein der Mitarbeiter zu erhöhen und damit zahlreiche Risiken erheblich zu minimieren. Schriftlich fixierte und verbindliche IT-Sicherheitsrichtlinien und Notfallpläne sind in den meisten KMU noch keine Selbstverständlichkeit. Sie können aber entscheidend zu einer Verbesserung der IT- und Informationssicherheit in Unternehmen beitragen und sind ohne großen Aufwand zu implementieren. Jedes fünfte Unternehmen hat schon einmal endgültig Geschäftsdaten verloren. Trotzdem erstellen immerhin fast 5 Prozent der Unternehmen keine Sicherungskopien. Noch immer wird den Mitarbeitern im Umgang mit IT-Technik weitgehende Autonomie eingeräumt. So erlaubt ein erheblicher Teil der Unternehmen auch Nicht-IT-Mitarbeitern Software-Installationen oder räumt ihnen Administratorrechte ein. Insbesondere, wenn die Mitarbeiter nicht hinreichend über potenzielle Gefahren informiert werden, birgt dies ein erhebliches Risiko. 74

75 Fazit (III) Im Falle eines erfolgreichen Angriffs erlitt bereits jedes zehnte angegriffene Unternehmen einen Schaden von mehr als Euro. Zudem ist eine Fortführung des Geschäftsbetriebs beim Ausfall der IT-Systeme unter Umständen weniger als eine Stunde möglich. Bereits kurze Ausfallzeiten können aber zu einem erheblichen Schaden führen. Besonders mobile Endgeräte stellen ein erhebliches Sicherheitsrisiko dar. Gerade Smartphones und Mobiltelefone sowie Tablets werden häufig nicht ausreichend durch Firewall, Virenschutz und Verschlüsselung geschützt. Gerade diese Geräte werden aber zunehmend zu beliebten Angriffszielen. Hier besteht offenbar ein erheblicher Aufklärungsbedarf. Die Untersuchung zeigt abermals, dass IT- und Informationssicherheit auch für KMU bereits ein Thema ist und vielfach zumindest punktuell angegangen wird. Dennoch offenbaren sich insbesondere im Bereich mobiler Endgeräte noch erhebliche Optimierungspotenziale, die angegangen werden sollten, um sich zukünftig vor digitalen Angriffen angemessen zu schützen. Für Unternehmen jeglicher Größe gilt es demnach, die internen Prozesse abzusichern und Verhaltensweisen zu etablieren, um sich bestmöglich vor Sicherheitsvorfällen zu schützen. 75