pcnews From: Martin Weissenboeck [mweissen@ccc.at] Sent: Friday, April 03, 1998 10:04 PM To: agtk@ccc.or.at Subject: AGTK 98087: IT-Sicherheit AGTK 98087: IT-Sicherheit Liebe AGTK-Leser! Ich mache ein paar Tage Osterurlaub. Ihr Postkasten wird ein bisschen entlastet! MfG Martin Weissenboeck +++ pressetext.austria +++ IT-Sicherheit ein Schwachpunkt in Oesterreichs Unternehmen Neue Studie bestaetigt jedoch Aufgeschlossenheit und Sensibilisierung Ueberwachungsbehoerde fuer Sicherheitsfragen abgelehnt Wien (pte) (1. April 98/11:00) - Irrtuemer, Fahrlaessigkeit von Mitarbeitern und technische Softwareprobleme sind die wesentlichsten Sicherheitsschwachstellen in oesterreichischen Unternehmen. Doch nur wenige tun etwas dagegen. Das ist das Ergebnis einer Umfrage unter 450 Unternehmen und Organisationen zum Thema "Sicherheit in der Informationstechnik", die von der ARGE Daten durchgefuehrt wurde. Besonders die Bereitschaft zur Sicherheitsschulung von Mitarbeitern und zum Einsatz von Analysewerkzeugen sei unterentwickelt, heisst es in dem Bericht. Bei Softwareproblemen werden sowohl fehlerhafte Software als auch programmtechnisch manipulierte Software als groesste Sicherheitsrisken eingeschaetzt. Auch externe Angriffe wuerden kuenftig an Bedeutung gewinnen. Die beiden Gefahrenbereiche "Hoehere Gewalt" und Hardware-Defekte hingegen nehmen stark an Bedeutung ab, meinen die Befragten. Insgesamt stehen EDV-Anwender neuen Entwicklungen im Sicherheitsbereich aber sehr aufgeschlossen gegenueber: Die ueberwiegende Zahl der EDV-Anwender (75 %) begruesst die Standardisierung von IT-Sicherheitsmassnahmen, nur eine Minderheit von 17 % diese ab. Kosten sind nicht die zentralen Auswahlkriterien fuer Sicherheitsmassnahmen. Fuer die weitaus ueberwiegende Zahl der EDV-Anwender sei "einfache Handhabbarkeit" das entscheidende Kriterium. Die Befragten seien auch bereit, fuer gute Sicherheitsprodukte (einfache Handhabbarkeit und Verstaendlichkeit) hoehere Preise zu bezahlen, so der Bericht. Interne Ansaetze zur Sicherheitskontrolle werden gegenueber externen Pruefmassnahmen derzeit eindeutig bevorzugt (85 % gegenueber 7 %). Die Mehrheit beschraenkt sich bei der Erstellung von Sicherheitskonzepten auf allgemeine Anweisungen von Vorgesetzten, Umsetzung und Kontrolle seien ungenuegend. Besonders bei Klein- und Mittelbetrieben bestehe die Gefahr, dass die Aufforderung "aufzupassen" ueberwiegt und zum - ungeeigneten - Sicherheitsauftrag wird. Eine unterstuetzende Massnahme koennten unabhaengige, freiwillig zu kontaktierende Beratungs- und Supervisionsstellen fuer IT-Sicherheitsfragen sein. Erfreulich ist laut der Studie der Trend zu "SW-Produkten mit ausgewiesenen Sicherheitsstandards". Hier ergaeben sich enorme Chancen fuer oesterreichische Einrichtungen (SW-Entwicklung, Entwicklung von Zusatzprodukten, Pruef- und Zertifizierungsstellen). Firewalls, Datenverschluesselung und Antivirenprogramme gehoeren zum Standardrepertoire bei offenen Netzwerkstrukturen. Presseberichte ueber Sicherheitsrisiken haetten zwar Verunsicherung erzeugt, gleichzeitig aber die IT-Anwender motiviert, Abwehrmassnahmen einzusetzen, so die Studie. So werden neue Sicherheitsmassnahmen bei der ueberwiegenden Zahl der befragten Unternehmen (84 %) aufgrund qualifizierter Ereignisse (Fachinformationen, Empfehlungen der Revision, Verdacht auf Datenverlust) gesetzt. Ein widerspruechliches Bild ergibt sich im Zusammenhang mit der Beschaffung von Software. Im Zusammenhang mit der Kompetenz der Lieferanten/Herstellern im Bereich Security Policies reagierten die Befragten mit 40 % Ablehnung und nur 30% Zustimmung. Umgekehrt vertrauen jedoch 69 % Herstellerangaben zur Sicherheit. Offenbar folgt einem grundsaetzlichen sicherheitspolitischen Unbehagen gegenueber den Herstellern keine angemessene Reaktion. Kaum Bedeutung haben Gutachten externer Stellen zur Sicherheit von neu beschaften IT-Systemen. PC/Workstations (69%) und Netzwerkkomponenten (60%) gelten als DIE sicherheitsgefaehrdeten Anlagen. Nur 9% sehen besondere Gefaehrdungen im Mainframe-Bereich. Dabei sind die befragten Unternehmen grundsaetzlich aufgeschlossen gegenueber regulierenden (gesetzlichen) Massnahmen im Bereich Sicherheitstechnik. Freiwillige Massnahmen werden jedoch gegenueber Zwangsmassnahmen bevorzugt. Vier Massnahmen, branchenspezifische "Codes of Conduct" (74%), technische Servicestelle (76%), ein nationales CERT (70%) und die regelmaessige Publikation von Pruefberichten (72%) erreichten eine Zustimmung von 70?Prozent und mehr. Mehrheitlich abgelehnt wird eine Ueberwachungsbehoerde, die EDV-Anwender auf Sicherheit "prueft" (65% Ablehnung, 15% Zustimmung). Hohe Zustimmung fand die Idee der steuerlichen Beguenstigung von Sicherheitsprodukten (60% Zustimmung, 18% Ablehnung). Die duerfte aber wohl nicht so schnell kommen. Kurzfassung der Studie: http://keyserver.ad.or.at/security/oenb/index.htm bzw. fuer Browser, die kein security-Protokoll unterstuetzen unter http://keyserver.ad.or.at/security/oenb/index.htm Info: Dr. Hans G. Zeger, Tel. 01/4897893 oder E-Mail: hans@adis.at --- MfG Martin Weissenboeck --- --- E-Mail: mweissen@ccc.at Tel: +43-1-369 88 58-10 --- Gatterburggasse 7, A-1190 Wien Fax: +43-1-369 88 58-77 ------- This message was distributed via the Listserver of the CCC (Computer Communications Club) - (e-mail 'ccc@ccc.or.at' for info's). To unsubscribe from the list send a message to listserv@ccc.or.at with the following command in the message body: 'unsubscribe agtk' .