Schweizer Unternehmen mit wenig Mitteln für die IT-Security

9. November 2006, 10:53
  • security
  • eth
  • studie
  • unternehmen
image

Eine ETH-Studie belegt, dass viele Unternehmen nur wenig finanzielle und personelle Mittel für die Informationssicherheit zur Verfügung haben.

Eine ETH-Studie belegt, dass viele Unternehmen nur wenig finanzielle und personelle Mittel für die Informationssicherheit zur Verfügung haben.
Die Forschungsstelle der Sicherheitspolitik der ETH Zürich hat für die Melde- und Analysestelle zur Informationssicherung (MELANI) eine Studie zur Informationssicherheit in Schweizer Unternehmen durchgeführt. Wie MELANI heute mitteilte, wurden zwischen dem 15. März und dem 13. April 2006 4916 Firmen und Behörden per E-Mail oder brieflich angeschrieben. Es gab Rückmeldungen von 562 Unternehmen, die Fragen zur ihrer Praxis im Bezug auf IT-Security im Jahr 2005 beantworteten.
Wie Ruedi Rytz, Leiter MELANI, gegenüber inside-it.ch sagt, haben grösstenteils CIOs und IT-Manager Auskunft gegeben. Die meisten Aussagen überraschen nicht. So haben 72 Prozent der Firmen vergangenes Jahr mindestens einen Vorfall erlebt. Malware ist nach wie vor weit verbreitet und Hardware-Diebstähle sind auch in der Schweiz ein Thema. Gefährdet sind zudem vor allem grosse Unternehmen und solche aus der Finanzbranche. Wer mehr E-Commerce betreibt, geht ebenfalls ein höheres Risiko ein.
Was womöglich auch nicht überrascht, aber zu denken geben sollte, ist die Tatsache, dass den meisten Firmen nur begrenzte finanzielle und personelle Mittel für die Informationssicherheit zur Verfügung stehen.
Was kostet IT-Security?
62 Prozent der befragten Unternehmen, die sich zu diesem Thema äusserten, gaben an, vergangenes Jahr nicht mehr als 5000 Franken für die IT-Sicherheit ausgegeben zu haben. Nur 5 Prozent gaben mehr als 10'000 Franken aus. Grosse Investition tätigen logischerweise grosse Unternehmen und insbesondere solche aus der IT- und Telekommunikationsbranche, wie auch aus der Finanzbranche.
Die Studienteilnehmer wurden gefragt, wie viel Prozent der für die IT-Sicherheit aufgewendeten Mittel für die Bezahlung von Outsourcing-Partner ausgegeben werden. Immerhin ein Drittel gab an, gar kein Outsourcing zu betreiben. Gleich viele sagten, 20 Prozent der Mittel würden für Outsourcing ausgegeben. Ein beträchtlicher Anteil von 15 Prozent sagte, Outsourcing verschlinge 80 Prozent der verfügbaren Mittel.
Unternehmen, die selber für ihre IT-Security zuständig sind, wurden gefragt, wie viel Personal für diesen Bereich eingesetzt wird. Bei 13 Prozent der Befragten kümmert sich keiner der Angestellten direkt um IT-Security. Laut Ruedi Rytz sind das vor allem KMUs. Eine grosse Mehrheit von 60 Prozent hat dafür aber auch nur höchstens 100 Stellenprozente zur Verfügung. Ein Viertel der Befragten hat zwei bis fünf Mitarbeiter, die speziell für IT-Security zuständig sind. 3 Prozent haben mehr als fünf Personen in diesem Bereich.
Personen, die in Unternehmen in diesem Bereich tätig sind, sind meistens nicht genügend qualifiziert. In nur 32 Prozent der befragten Firmen ist ein ausgebildeter Informatiker für IT-Security verantwortlich. In Grossfirmen und Firmen der IT-Branche sind viel häufiger ausgebildete Informatiker angestellt.
Bedrohung von innen
Was die Art der Bedrohungen betrifft, spielen die Mitarbeiter auch eine wesentliche Rolle. Wie schon viele Studien zuvor, konstatiert auch die vorliegende, dass ein Teil der Bedrohung der Informationssicherheit durch unabsichtliches Fehlverhalten verursacht wird. In der Schweiz seien zwar Vorfälle, die direkt auf einen Mitarbeiter zurückgeführt werden können, "eher selten", trotzdem gibt es auch hierzulande Fälle, in denen Angestellte absichtlich der Firma Schäden zufügen – zum Beispiel um sich zu bereichern oder sich an Vorgesetzten zu rächen. Ein Zehntel der Befragten gab an, dass in ihren Unternehmen eine Bedrohung von innen bestehe. Rytz glaubt, dass diese Aussagen aufgrund von internen Untersuchungen gemacht wurden.
Gemäss der Studie wünschen sich die Unternehmen eine verstärkte Kooperation im Bereich IT-Security. Der Erfahrungsaustausch unter den Unternehmen müsse vernetzt werden. Allerdings sind sich die Befragten nicht im Klaren darüber, wie eine entsprechende Organisation konkret aussehen müsste. (Maurizio Minetti)

Loading

Mehr zum Thema

image

Cybersecurity bei EY

Mit dem Cybersecurity Team unterstützen wir bei EY unsere Kundinnen und Kunden bei der Risikominimierung von Cyberangriffen.

image

Zahlreiche US-amerikanische Krankenhäuser schon wieder von Cybervorfall betroffen

Die zweitgrösste US-amerikanische Gesundheitsorganisation CommonSpirit Health ist Opfer einer Cyberattacke geworden. Einige IT-Systeme mussten abgestellt werden.

publiziert am 7.10.2022
image

Bandenwerbung gegen Cyberdefense

Seit diesem Jahr verteidigt der BSC Young Boys mit Acronis gegen Cyberangreifer. Der Anbieter setzt vermehrt auf Sportvereine als Zugpferde und bezahlt YB für den Einsatz der Produkte.

publiziert am 7.10.2022 1
image

Cyberkriminelle veröffentlichen Daten von Läderach

Einen Monat nach dem Cyberangriff auf den Schweizer Chocolatier sind mehrere Datenpakete im Darknet aufgetaucht. Läderach erklärt uns, die Situation genau zu beobachten.

publiziert am 6.10.2022