Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Sandra Ines Gerbich Redakteurin IT-Security, Netzwerk- und Systemmanagement IT-Security 2002: Blind oder blauäugig?

Ähnliche Präsentationen


Präsentation zum Thema: "Sandra Ines Gerbich Redakteurin IT-Security, Netzwerk- und Systemmanagement IT-Security 2002: Blind oder blauäugig?"—  Präsentation transkript:

1 Sandra Ines Gerbich Redakteurin IT-Security, Netzwerk- und Systemmanagement IT-Security 2002: Blind oder blauäugig?

2 1. Daten zur Studie 2. Ländervergleich Deutschland im weltweiten Vergleich und im Vergleich zu den USA 3. Deutschland Die größten Sicherheitsverletzungen Sicherheitsmaßnahmen Hauptbarrieren gegen effiziente IT-Sicherheit Blick in die Zukunft Handlungsempfehlungen Agenda

3 1. Daten zur Studie 2. Ländervergleich Deutschland im weltweiten Vergleich und im Vergleich zu den USA 3. Deutschland Die größten Sicherheitsverletzungen Sicherheitsmaßnahmen Hauptbarrieren gegen effiziente IT-Sicherheit Blick in die Zukunft Handlungsempfehlungen Agenda

4 Methode: Elektronische (Homepage, ) und schriftliche Interviews per Post Stichprobe: 8188 Antworten von IT-Managern und Sicherheits- verantwortlichen aus mehr als 50 Ländern, davon 828 Antworten aus Deutschland Themen: Über 40 Fragen aus allen Bereichen der Informationssicherheit Befragung: PricewaterhouseCoopers (USA) und Informationweek Befragungszeitraum: April bis Juni 2002 Daten zur Studie: Erhebungsdesign

5 Ausführliche Grafiken, Kommentierung und Tabellen zu folgenden Themen: 1.Stellenwert von IT-Security im Unternehmen 1.Stellenwert von IT-Security im Unternehmen 2.Wichtigste Schritte zur Absicherung gegen Sicherheitsverstöße 2.Wichtigste Schritte zur Absicherung gegen Sicherheitsverstöße 3. Wichtigste Maßnahmen zum Schutz von Kundendaten 3. Wichtigste Maßnahmen zum Schutz von Kundendaten 4.Wichtigste Maßnahmen zum Schutz von Personen und Daten 4.Wichtigste Maßnahmen zum Schutz von Personen und Daten 5.Wichtigste eingesetzte Internet- / Unternehmensanwendungen 5.Wichtigste eingesetzte Internet- / Unternehmensanwendungen 6.Wichtigste gehostete Internet- / Unternehmensanwendungen 6.Wichtigste gehostete Internet- / Unternehmensanwendungen 7.Einsatz von drahtloser Kommunikation 7.Einsatz von drahtloser Kommunikation 8.Klassifizierung von hochsensitiven Dateien / Datensätzen 8.Klassifizierung von hochsensitiven Dateien / Datensätzen 9.Verwendung von Access-Control-Software zum Schutz der Informationssysteme 9.Verwendung von Access-Control-Software zum Schutz der Informationssysteme 10.Verwendung von Kryptographie zum Schutz der Informationssysteme 11.Verwendung von sonstigen Tools zum Schutz der Informationssysteme 12.Wichtigste geplante strategische Sicherheitsmaßnahmen 13.Wichtigste geplante taktische Sicherheitsmaßnahmen 14. Wichtigste geplante organisatorische Sicherheitsmaßnahmen 15.Wichtigste vorhandene Sicherheitsrichtlinien 16.Verantwortlichkeit für Sicherheitsrichtlinien 17.Verantwortlichkeit für das IT-Security-Budget 18.Ausrichtung der Sicherheitsrichtlinien auf Unternehmensziele 19.Ausrichtung der Sicherheitsausgaben auf Unternehmensziele 20.Kenntnis der Sicherheitsrichtlinien 21.Überprüfung / Beurteilung der Sicherheitsrichtlinien auf ihre Effektivität 22.Hauptbarrieren für die Effektivität von Sicherheit 23.Richtlinien für Updates von Virusscannern 24.Richtlinien für Software-Sicherheitspatches 25.Anzahl der Sicherheitsverstöße im letzten Jahr 26.Art der wichtigsten Sicherheitsverstöße 27.Vermutete Verursacher der Sicherheitsverstöße 28.Hauptsächlich verwendete Angriffsmethoden bei Sicherheitsverstößen 29.Wichtigste Auswirkungen der Angriffe 30.Informationsquelle über die Angriffe 31.Höhe der Ausfallzeit nach Angriffen 32.Geschätzter finanzieller Schaden durch Angriffe 33.Benachrichtigte Instanzen nach dem Angriff 34.Zweck der Überwachung von Kommunikationseinrichtungen 35.Einbindung der Informationssicherheit in das IT-Gesamtbudget Daten zur Studie: Der Inhalt (1)

6 36.Prozentualer Anteil des IT-Security-Budgets am IT-Budget 37.Gründe für Sicherheitsinvestitionen 38.Erfolg des letzten Sicherheitsprojekts: Dienstleistungen 39. Erfolg des letzten Sicherheitsprojekts: Produkte 40.Höhe des IT-Security-Bugdets 41.Entwicklung der Ausgaben für Datensicherheit 42.Höhe des IT-Gesamtbudgets 43.Anzahl der Mitarbeiter für Informationssicherheit: Angestellte 44.Anzahl der Mitarbeiter für Informationssicherheit: Berater 45.Verantwortlichkeit für Informationssicherheit 46.Unternehmen nach Branchen 47.Unternehmensgrößen 48.Unternehmen nach Jahresumsatz 49.Berufsbezeichnung der Befragten 50.Teilnehmerzahl nach Ländern Daten zur Studie: Der Inhalt (2) Die komplette Studie enthält:  1 Studienband mit den Ergebnissen für Deutschland mit mehr als 60 Grafiken und Kommentar  1 CD-Rom mit dem Studienband als pdf-file; alle ca. 250 Grafiken mit Darstellungen nach Branchen, Unternehmensgrößen etc. als pdf-file; umfangreicher Tabellenteil mit insgesamt 12 Ergebnisaufbrüchen für Deutschland sowie einem Aufbruch nach Ländern  Kostenpunkt der Gesamtstudie: Euro 990,-- zzgl. MwSt. Teilergebnisse auf Anfrage.

7 Daten zur Studie: Teilnehmer nach Ländern USA Europa Deutschland Kanada256 Südamerika423 Asien723 Australien / Neuseeland147 Sonstige28 Quelle: IT-Security 2002; Absolute Werte

8 1 bis 100 Mitarbeiter 251 bis 500 Mitarbeiter bis Mitarbeiter 101 bis 250 Mitarbeiter 501 bis Mitarbeiter Mitarbeiter und mehr Daten zur Studie: Teilnehmer nach Unternehmensgrößen WeltweitDeutschland Quelle: IT-Security 2002; Prozentwerte

9 Dienstleistungen / Services Industrie / Produktion Öffentliche Verwaltung IT Finanzen / Versicherungen Schulen / Hochschulen Daten zur Studie: Teilnehmer nach Branchen WeltweitDeutschland Medizin Maschinenbau Sonstige Quelle: IT-Security 2002; Prozentwerte

10 1. Daten zur Studie 2. Ländervergleich Deutschland im weltweiten Vergleich und im Vergleich zu den USA 3. Deutschland Die größten Sicherheitsverletzungen Sicherheitsmaßnahmen Hauptbarrieren gegen effiziente IT-Sicherheit Blick in die Zukunft Handlungsempfehlungen Agenda

11 Frage:Welche Schritte hat Ihr Unternehmen seit dem 11. September unternommen, um sich gegen Terrorismus und andere Verstöße gegen die Informationssicherheit abzusichern? Aktualisierung von Richtlinien / Verfahren / technischen Standards Aufstellung / Aktualisierung von Plänen für Business Continuity / Disaster Recovery Erhöhung der Ausgaben für den Schutz von geistigem Eigentum Erhöhung der Wahrnehmung von Richtlinien / Verfahren / techn. Standards bei Mitarbeitern Erhöhung der Ausgaben für den Schutz von materiellem Eigentum Keine Schritte unternommen Ländervergleich: Aktuelle Maßnahmen gegen Sicherheitsverstöße Deutschland USA Weltweit Quelle: IT-Security 2002; Prozentwerte

12 Information der Mitarbeiter über Datenschutz- / Verhaltensrichtlinien Einrichtung der Position eines Datenschutzbeauftragten Überprüfung der Datenschutz-Policy mindestens einmal im Jahr Sichere Internet-Transaktionen Verschlüsselung des Informationsaustauschs Keine Frage:Welche der folgenden Maßnahmen zum Schutz von Kundendaten hat Ihr Unternehmen ergriffen? Ländervergleich: Aktuelle Maßnahmen zum Schutz von Kundendaten Deutschland USA Weltweit Quelle: IT-Security 2002; Prozentwerte

13 Antiviren-Software Automatische Datensicherung Intrusion-Detection-Systeme Installation von Application-Firewalls Virtual Private Networks (VPN) Kampagne zur Steigerung des Sicherheitsbewußtseins bei Mitarbeitern Frage:Welche der folgenden Tools verwenden Sie gegenwärtig zum Schutz der Informationssysteme? Ländervergleich: Generelle Tools zum Schutz der Informationsysteme Vulnerability Assessment Tools Deutschland USA Weltweit Quelle: IT-Security 2002; Prozentwerte

14 Nicht bekannt / keine Angabe Mehr Etwa gleich Weniger Deutschland Großbritannien USA Ländervergleich: Entwicklung der Ausgaben für Datensicherheit Frage: Wie viel werden Sie für Datensicherheit im Jahr 2002 im Vergleich zu 2001 ausgeben? Quelle: IT-Security 2002; Prozentwerte

15 Ländervergleich: Zusammenfassung  11. September 2001 in Deutschland kaum ein Anlass, zusätzliche Sicherheitsmaßnahmen zu treffen  Psychologische Betroffenheit in den USA stärker  Unter dem Druck der Gesetzgebung hat Deutschland die Position eines Datenschutzbeauftragten eingerichtet  Deutschland kann technologisch mithalten, nur Investitionen in Intrusion Detection verhalten  Im Vergleich zu den USA und weltweit in Deutschland Sicherheitsbudget stagnierend oder rückläufig

16 Agenda

17 Frage:Um welche Art von Verstößen bzw. Spionagefällen handelte es sich hierbei? Deutschland - Die größten Sicherheitsverletzungen: Art der Sicherheitsverstöße - Gesamt Computerviren / Würmer / Trojanische Pferde Bombardierung mit verbotenem Material Manipulation von Webscripting-Sprachen Telekommunikationszugriffe / unautorisierte Zugriffe (Distributed) Denial-of-Service-Attacken Keine Verstöße Quelle: IT-Security 2002; Prozentwerte

18 Kunden Ehemalige Mitarbeiter Lieferanten Wettbewerber Nicht bekannt Deutschland - Die größten Sicherheitsverletzungen: Verursacher von Sicherheitsverstößen - Gesamt Frage:Wen haben Sie als Verursacher dieser Verstöße bzw. Spionagefälle im letzten Jahr in Verdacht? Computerhacker / Terroristen Nicht autorisierte Benutzer / Mitarbeiter Autorisierte Benutzer / Mitarbeiter Quelle: IT-Security 2002; Prozentwerte

19 Frage:Welche Angriffsmethoden wurden dabei hauptsächlich verwendet? Ausnutzung einer bekannten Schwachstelle im Betriebssystem Unbeabsichtigte Fehlkonfiguration / menschliches Versehen Missbrauch gültiger Benutzerkonten / Nutzungsgenehmigungen Ausnutzung bekannter Anwendungen Externe Denial-of-Service-Attacken Ausnutzung mangelhafter Zugriffskontrollmechanismen Deutschland - Die größten Sicherheitsverletzungen: Angriffsmethoden bei Sicherheitsverstößen - Gesamt Quelle: IT-Security 2002; Prozentwerte Ausnutzung einer unbekannten Schwachstelle im Betriebssystem

20 Analyse von Server- bzw. Firewall- Protokollen / -Dateien Intrusion-Detection-Systeme Warnung durch Kunden / Lieferanten Warnung durch Kollegen Daten- bzw. Materialschäden Alarmierung durch Serviceprovider Quelle: IT-Security 2002; Prozentwerte Frage:Wie haben Sie von diesen Angriffen erfahren? Deutschland - Die größten Sicherheitsverletzungen: Informationsquelle über die Angriffe - Gesamt

21 Deutschland - Die größten Sicherheitsverletzungen: Zusammenfassung  Computerviren immer noch Bedrohung Nummer 1; jedes zweite Unternehmen betroffen  Angriffe kommen immer noch in hohem Maß von außen; Angriffe von innen resultieren oft aus unbeabsichtigtem Fehlverhalten von Mitarbeitern  Bekannte Sicherheitslücken in Betriebssystemen und Software problematisch  Intrusion-Detection-Systeme spielen bei der Erkennung von Angriffen nur eine untergeordnete Rolle  Sicherheitsverletzungen werden nicht kommuniziert

22 1. Daten zur Studie 2. Ländervergleich Deutschland im weltweiten Vergleich und im Vergleich zu den USA 3. Deutschland Sicherheitsmaßnahmen Die größten Sicherheitsverletzungen Sicherheitsmaßnahmen Hauptbarrieren gegen effiziente IT-Sicherheit Blick in die Zukunft Handlungsempfehlungen Agenda

23 Basis-Benutzerpasswörter Zugriffkontrollsoftware für Mini- / Großrechner Software für PC-Zugriffskontrolle Einmal-Passwörter / Token / Smartcards Biometrische Benutzer-Authentifizierung Single sign-on Software Deutschland - Sicherheitsmaßnahmen: Verwendung von Access-Control-Software - Gesamt Frage:Welche der folgenden Tools verwenden Sie gegenwärtig zum Schutz der Informationssysteme? Quelle: IT-Security 2002; Prozentwerte Mehrfach-Logons und -Passwörter

24 Secure Sockets Layer (SSL) Sonstige Verschlüsselungssoftware PKI mit interner Certificate Authority Pretty Good Privacy (PGP) S/MIME PKI mit externer Certificate Authority Deutschland - Sicherheitsmaßnahmen: Verwendung von Kryptographie - Gesamt Frage:Welche der folgenden Tools verwenden Sie gegenwärtig zum Schutz der Informationssysteme? Quelle: IT-Security 2002; Prozentwerte

25 Antiviren-Software Automatische Datensicherung Installation von Application-Firewalls Virtual Private Networks (VPN) Deutschland - Sicherheitsmaßnahmen: Verwendung von sonstigen Tools - Gesamt Frage:Welche der folgenden Tools verwenden Sie gegenwärtig zum Schutz der Informationssysteme? Installation von Netzwerk-Firewalls Software zur Überwachung der Internetnutzung von Mitarbeitern Intrusion-Detection-Systeme Quelle: IT-Security 2002; Prozentwerte

26 Regelmäßige Updates Test vor der Implementierung Durchführung von Updates etc. durch Serviceprovider Automatischer Download Download als Reaktion auf einen Vorfall bzw. eine Meldung Keine davon Frage:Welche Richtlinien existieren in Ihrem Unternehmen in Bezug auf die Implementierung von Updates und Ankündigung neuer Produkte? Quelle: IT-Security 2002; Prozentwerte Deutschland - Sicherheitsmaßnahmen: Richtlinien für Updates von Virusscannern - Gesamt

27 Deutschland - Sicherheitsmaßnahmen: Zusammenfassung  Webbasierende Anwendungen erst ab Unternehmen mit mehr als 100 Mitarbeitern; kaum Sicherheitsinfrastruktur  Biometrie ist kein Thema  Investitionen in PKI verhalten, nur für Unternehmen mit mehr als 5000 Mitarbeitern interessant  Unternehmen haben Relevanz regelmäßiger Updates von Antivirensoftware und Installation von Patches erkannt

28 1. Daten zur Studie 2. Ländervergleich Deutschland im weltweiten Vergleich und im Vergleich zu den USA 3. Deutschland Die größten Sicherheitsverletzungen Sicherheitsmaßnahmen Hauptbarrieren gegen effiziente IT-Sicherheit Hauptbarrieren gegen effiziente IT-Sicherheit Blick in die Zukunft Handlungsempfehlungen Agenda

29 Zeitmangel Komplexität der Technologie Mangel an qualifiziertem Personal Budget Frage:Welche der folgenden Probleme behindern die Effektivität der Sicherheit in Ihrem Unternehmen am meisten? Deutschland - Hauptbarrieren gegen effiziente IT-Sicherheit: Hindernisse die IT-Sicherheit entgegen stehen - Gesamt Mangel an ausgereiften Tools / Technologien Mangelnde generelle Awareness Schlecht definierte Policy Quelle: IT-Security 2002; Prozentwerte

30 Bis zu $ $ bis $ $ bis $ $ bis $ $ bis $ $ und mehr Nicht bekannt Frage:Wie hoch ist schätzungsweise das Gesamtbudget Ihres Unternehmens für den Bereich Informationssicherheit im Jahr 2002, also für Hardware, Software, Gehälter, Berater und sonstige Ausgaben? Deutschland - Hauptbarrieren gegen effiziente IT-Sicherheit: Höhe des IT-Security-Budgets - Gesamt Quelle: IT-Security 2002; Prozentwerte

31 Deutschland - Hauptbarrieren gegen effiziente IT-Sicherheit: Zusammenfassung  Unternehmen nennen Zeitmangel als größtes Sicherheitshindernis  Knappe Budgets weichen bestehende Sicherheitsinfrastrukturen auf  Informationssicherheit ist noch nicht überall Chefsache und wird noch nicht über alle Hierarchieebenen hinweg getragen  Fehlende / mangelhafte Security Policy wird nicht als Sicherheitshindernis gesehen  Nur wenige Unternehmen haben Mitarbeiter angestellt, die sich ausschließlich mit Informationssicherheit beschäftigen

32 1. Daten zur Studie 2. Ländervergleich Deutschland im weltweiten Vergleich und im Vergleich zu den USA 3. Deutschland Die größten Sicherheitsverletzungen Sicherheitsmaßnahmen Blick in die Zukunft Hauptbarrieren gegen effiziente IT-Sicherheit Blick in die Zukunft Handlungsempfehlungen Agenda

33 Verbesserung der Netzwerksicherheit Entwicklung einer Sicherheitsarchitektur Gewährleistung des Engagements auf Führungsebene Blocken von unbefugtem Zugriff Entwicklung von Strategien für den Informationsschutz Frage:Auf welche der folgenden strategischen Sicherheitsmaßnahmen wird sich Ihr Unternehmen in den nächsten 12 Monaten besonders konzentrieren? Deutschland - Blick in die Zukunft: Geplante strategische Sicherheitsmaßnahmen - Gesamt Quelle: IT-Security 2002; Prozentwerte

34 Abwehr von Virusrisiken / feindlichen Codes Installation von Netzwerk-Firewalls Sicherer Remote Access Verbesserung der Betriebssystem-Sicherheit Bessere Zugriffskontrollen Verbesserung der Anwendungssicherheit Überwachung der Benutzer bezüglich Einhaltung der Richtlinien Sichere Webbrowser Quelle: IT-Security 2002; Prozentwerte Frage:Auf welche der folgenden taktischen Sicherheitsmaßnahmen wird sich Ihr Unternehmen in den nächsten 12 Monaten besonders konzentrieren? Deutschland - Blick in die Zukunft: Geplante taktische Sicherheitsmaßnahmen - Gesamt

35 1. Daten zur Studie 2. Ländervergleich Deutschland im weltweiten Vergleich und im Vergleich zu den USA 3. Deutschland Die größten Sicherheitsverletzungen Sicherheitsmaßnahmen Handlungsempfehlungen Hauptbarrieren gegen effiziente IT-Sicherheit Blick in die Zukunft Handlungsempfehlungen Agenda

36 Handlungsempfehlungen  Umfassendes, ganzheitliches Sicherheitskonzept / Security Policy  Informationssicherheit / IT-Sicherheit: Chefsache  Sicherheitsbewußtsein bei Mitarbeitern  Basismechanismen  80/20-Prinzip  Erfolgskontrolle / Überprüfung der Ziele

37 Kostenpunkt der Gesamtstudie: Euro 990,-- zzgl. MwSt. Teilergebnisse auf Anfrage. Hier ist Ihr Kontakt: Frank Sautner Senior-Projektleitung research+consulting Tel. +49 (0) Sie wollen mehr wissen? Gerne!


Herunterladen ppt "Sandra Ines Gerbich Redakteurin IT-Security, Netzwerk- und Systemmanagement IT-Security 2002: Blind oder blauäugig?"

Ähnliche Präsentationen


Google-Anzeigen