Suchen

Untersuchung von IDC IT-Security: Angriffsszenarien in Deutschland 2013

| Redakteur: Katrin Hofmann

Wie hoch Unternehmen das Risiko verschiedener Angriffe auf ihre IT bewerten, danach haben die Marktforscher von IDC gefragt.

Firmen zum Thema

<a href="/systems/articles/409926/">IT</a>- und Fachentscheider sind sich weitgehend einig.
<a href="/systems/articles/409926/">IT</a>- und Fachentscheider sind sich weitgehend einig.
(Bild: <a href="/systems/articles/409926/">IDC</a>)

Für die Studie „Vor dem Sturm: IT-Security in Deutschland 2013“ hat das Marktforschungs- und Beratungsunternehmen International Data Corporation (IDC) im März 2013 eine Befragung unter 305 deutschen Unternehmen mit mehr als 100 Mitarbeitern durchgeführt. Ziel es war, eine Bestandsaufnahme der Bewertung neuer und komplexer Angriffsszenarien durch IT- und Business-Verantwortliche vorzunehmen und den Status sowie die Planungen technischer und konzeptioneller Ansätze zur Gewährleistung der IT-Sicherheit zu untersuchen. Dabei wurde besonderes Augenmerk auf die Bedrohungen, Angriffsziele und Abwehrmaßnahmen gelegt.

Aus Sicht von Angreifern gibt es in den Unternehmen viele lohnenswerte Ziele, die weit darüber hinausgehen, lediglich die Verwundbarkeit der Informationstechnologie zu demonstrieren. Angriffe im geschäftlichen Umfeld zielen immer darauf ab, sofort, mittel- oder langfristig wirtschaftlichen Schaden zu erzielen. Dabei sind diese keineswegs nur auf Datendiebstahl begrenzt, auch wenn gerade dieser als höchstes Risiko betrachtet wird. Datendiebstahl kann zu einer Vielzahl von Implikationen führen. Je nach Umfang und Brisanz der Daten kann das bis zum Erliegen des Geschäfts führen.

Lücken beim Datenschutz

Analysen von IDC zeigen immer wieder, dass der Schutz von Daten auf technischer, organisatorischer oder personeller Ebene Lücken aufweist, der das gezielte oder zufällige Abgreifen von nicht autorisierten Daten ermöglicht. IDC sieht hier in vielen Unternehmen Beratungs-, Schulungs- und Umsetzungsbedarf. Das Stören beziehungsweise Unterbrechen von Betriebsabläufen in der IT zählt zu den wirksamen Mitteln, Unternehmen direkt zu schädigen oder deren Vertragstreue in Frage zu stellen, beispielsweise dann, wenn Mitarbeiter oder Kunden die Lösungen und Systeme einer Firma nicht oder nur eingeschränkt nutzen können. Dann ist dann der Fall, wenn Webseiten nicht mehr erreichbar sind oder Informationen falsch oder lückenhaft dargestellt werden. Das führt dann häufig zu Imageschäden von Unternehmen, dann zu Vertrauensverlust gegenüber Kunden und Partnern und zu niedrigeren Unternehmensbewertungen. Störungen in der Produktion erfordern zumeist exaktes Wissen über Produktionsanlagen, genutzte Technologie und Releasestände und interne Prozessabläufe. Diese Angriffsszenarien sind zumeist zielgerichtet und erfordern einen großen Aufwand. Sie sind überwiegend als Cyberwar einzustufen oder APT und E-Terrorismus zuzuordnen. Ihre absolute Zahl dürfte daher begrenzt sein, der angestrebte Schaden ist umso größer. Vielfach werden IT-Systeme für kriminelle Zwecke missbraucht. Hierbei fungieren gekaperte Server und Clients als Ressource des Angreifer, etwa um Spam zu versenden, Identitäten zu verschleiern oder sich an DDoS-Angriffen zu beteiligen.

IT- und Business-Verantwortliche gleicher Meinung

IT-Verantwortliche und Fach- und Führungskräfte bewerten die Risiken der aufgelisteten Angriffsszenarien fast gleichrangig. Sie stimmen also bei der Einschätzung der aktuellen Situation hinsichtlich der Risiken grundsätzlich überein. Sowohl IT-Abteilungen als auch Fachentscheidern und Führungskräften sind die genannten Angriffsszenarien im Wesentlichen bekannt. Vertiefte Kenntnisse über technische, rechtliche und Compliance-Fragen existieren aber in großen Unternehmen nur bei Spezialisten, in kleinen und mittelständischen Unternehmen dagegen kaum.

(ID:40095290)