IT-Sicherheit in NRW - Horst Görtz Institut für IT-Sicherheit - Ruhr ...

Weitere Magazine

Empfehlungen

Info

Ausgestaltung der Systeme gibt. Die genaue Ausgestaltung richtet sich vielmehr nach den individuellen Eigenschaften und konkreten Erfordernissen des betreffenden Unternehmens. 22 Gemäß KonTraG müssen in einem Risikomanagementsystem sämtliche Risiken vollständig erfasst und bewertet werden. 23 Hierunter fallen insbesondere die IT- Risiken, da diese den Fortbestand der Gesellschaft ernsthaft gefährden können. So haben einer amerikanischen Studie zufolge 68 % aller Unternehmen in den USA, die einen IT-Ausfall von mehr als sieben Tagen zu beklagen hatten, den Betrieb nie wieder aufnehmen können. 24 Angesichts dieser Zahlen ist es umso erstaunlicher, dass in den Unternehmen massive Defizite bei der Wahrnehmung und Kontrolle der IT-Risiken bestehen wie bspw. die /Microsoft-Sicherheitsstudie 2006 belegt. 25 Dabei liegt es auch im Eigeninteresse der IT-Verantwortlichen für ein angemessenes IT-Sicherheitsniveau zu sorgen, da mit dem Inkrafttreten des KonTraG strafrechtlich relevante Verstöße im Aufgabenkreis eines IT-Verantwortlichen neben der Haftung mit dem Privatvermögen auch eine Haftstrafe nach sich ziehen können. 26 Oftmals ist den IT-Verantwortlichen jedoch nicht bewusst, wie weit ihre persönliche Haftung tatsächlich geht. So haben 52 % der befragten IT-Entscheider im Rahmen der /Microsoft Sicherheitsstudie 2004 angegeben, dass ihnen die Inhalte des KonTraG bekannt seien aber nur 35 %, dass dieses Gesetz für ihren Aufgabenbereich relevant ist. Bei der Sicherheitsstudie von 2006 waren es immerhin schon 70 % bzw. 54 % der Befragten. 27 Um den Anforderungen des KonTraG zu genügen und die Gefahr der persönlichen Haftung auszuschließen, ist es für die IT-Verantwortlichen unumgänglich, sich mit der Gesetzeslage zu befassen, bei Defiziten im eigenen Zuständigkeitsbereich die Vorgesetzten zu informieren und bezüglich erforderlicher Gegenmaßnahmen umfassend zu beraten. 28 22 Vgl. Romeike (2003c), S. 79; Schöne (2003), S. 93. 23 Vgl. Schäffter (2002), S. 10ff. 24 Vgl. Công Bùi (2005), S. 12. 25 Vgl. /Microsoft (2006a), S. 24ff. 26 Vgl. Schäffter (2002), S. 10ff. 27 Vgl. /Microsoft (2004b), S. 6ff.; /Microsoft (2006b), S. 40ff. 28 Vgl. Schäffter (2002), S. 13. 8
2.4 IT-Sicherheitslage in Deutschland Der schnelle Austausch von Informationen über eine wachsende Zahl von Übertragungswegen, die Kommunikation mit dem Handy oder das mobile Arbeiten mit dem Laptop sind im täglichen Leben zu einer Selbstverständlichkeit geworden. Für Unternehmen ist die Gestaltung moderner Arbeits- und Geschäftsprozesse heute ohne IT-Unterstützung nicht mehr realisier- und vorstellbar. Durch die Verbreitung des Internets und den daraus resultierenden Möglichkeiten des Informationsaustausches sind in den Bereichen B2C, B2B, B2G und B2E neue Geschäftsmodelle entstanden, wie sie vor wenigen Jahren noch unvorstellbar gewesen wären. 29 Mit der wachsenden Abhängigkeit der Unternehmen von Informationssystemen gewinnt die Sicherheit dieser Systeme zunehmend an Bedeutung. Somit stellen Schwachstellen bezüglich der Stabilität und Zuverlässigkeit von Informationssystemen einen Risikofaktor dar, der für Unternehmen unter Umständen existenzbedrohend sein kann. Im Folgenden wird auf verschiedene Studien eingegangen, die einen Eindruck über die Präsenz des Themas IT- Sicherheit bei Privatnutzern und in Unternehmen vermitteln. 2.4.1 IT-Sicherheitslage im privaten Umfeld Nach einer repräsentativen Umfrage des BSI von 2004 zur IT-Sicherheit in der deutschen Bevölkerung verfügte die Hälfte der Internetnutzer über gute bis sehr gute IT-Fachkenntnisse. Neun von zehn Internetnutzern war damals bekannt, dass durch die Verbindung mit dem Internet der eigene Computer von Fremden missbraucht werden kann und 70 % der Nutzer war bewusst, dass die Absenderadressen von E- Mails gefälscht sein können. Lediglich 10 % gaben an, wenige bis gar keine IT-Fachkenntnisse zu besitzen. 30 Angesichts dieses vermeintlich positiven Umfrageergebnisses ist es umso erstaunlicher, dass IT-Sicherheit in der Praxis eine untergeordnete Rolle spielt. Während bei der Befragung 2004 ein knappes Viertel 29 B2C steht für Business to Consumer und bezeichnet das Geschäftsverhältnis zwischen einem Unternehmen und einem Endkunden. B2B (Business to Business) beschreibt den Handel zwischen Unternehmen, B2G (Business to Government) beschreibt die Informationsbereitstellung, Abwicklung von Verwaltungsvorgängen etc. über elektronische Medien. B2E (Business to Employee) steht für den Informationsaustausch über Mitarbeiterportale etc., vgl. Romeike (2004a), S. 335. 30 Vgl. BSI (2005e). Der Schutz des Betriebssystems und der Anwendungen wird ebenfalls vernachlässigt. Nur ein Drittel der Befragten führte regelmäßige Updates durch und 80 % der Nutzer aktualisierten die Virensoftware nur einmal im Monat, vgl. BSI (2005f), S. 11f. 9
Seite 1 und 2: IT-Sicherheit in NRW verantwortlich
Seite 3 und 4: Inhaltsverzeichnis ................
Seite 5 und 6: Abbildungsverzeichnis Abb. 2.1: Zus
Seite 7 und 8: 1 Einleitung 1.1 Problemstellung un
Seite 9 und 10: 2 Grundlagen zur IT-Sicherheit 2.1
Seite 11 und 12: Safety Security Informationssicherh
Seite 13: 2.3 IT-Sicherheit als Pflichtfach d
Seite 17 und 18: und IT-Sicherheit verstärkt als ei
Seite 19 und 20: Managements ausgemacht. So ist auch
Seite 21 und 22: Wie aus Abbildung 3.1 ersichtlich,
Seite 23 und 24: Die anderen Lehrstühle und Institu
Seite 25 und 26: Ergänzt wird die Forschung innerha
Seite 27 und 28: Sicherheitsdienstleistungen, 31 % a
Seite 29 und 30: erhält man für Nordrhein-Westfale
Seite 31 und 32: Anzahl Unternehmen 30 25 20 15 10 5
Seite 33 und 34: 4.2.3 Hersteller von IT-Sicherheits
Seite 35 und 36: 4.3 IT-Sicherheit als Wettbewerbsfa
Seite 37 und 38: Auch wenn der Anteil der Ausgaben f
Seite 39 und 40: Wie die Abbildung verdeutlicht, wer
Seite 41 und 42: % 100,0 90,0 80,0 70,0 60,0 50,0 40
Seite 43 und 44: Zur Realisierung dieser Ziele ist e
Seite 45 und 46: 5 Institutionen aus dem IT-Sicherhe
Seite 47 und 48: 5.2 Institutionen mit Sitz in NRW 5
Seite 49 und 50: 5.2.3 Industrie- und Handelskammer
Seite 51 und 52: Art in Deutschland etabliert. Die j
Seite 53 und 54: 5.3.2 Deutschland sicher im Netz e.
Seite 55 und 56: Zu den Außenaktivitäten des DZI z
Seite 57 und 58: 6. Fazit und Zusammenfassung IT-Sic
Seite 59 und 60: Hauptaugenmerk muss hierbei auf der
Seite 61 und 62: BSI (2005e): BSI-Studie: Bürger zu
Seite 63 und 64: Klasen, Wolfgang; Rosenbaum, Ute (1

IT-Sicherheit in NRW - Horst Görtz Institut für IT-Sicherheit - Ruhr ...

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?