Betreiber kritischer Infrastrukturen: Interesse an IT-Sicherheit sinkt

Die internationale Studie "Critical Infrastructure Protection (CIP) Survey 2011" des IT-Sicherheitsunternehmens Symantec untersuchte, wie die Betreiber kritischer Infrastrukturen - dazu zählen etwa das Stromnetz, Banken und wichtige Kommunikations-Infrastrukturen - über das Thema IT-Sicherheit denken. Insgesamt wurden IT-Leiter und Führungskräfte aus 3.500 Unternehmen in 37 Ländern befragt. Das Ergebnis fiel angesichts der ausführlichen, teils von Kritikern schon als übertrieben eingestuften Diskussion über IT-Sicherheit und "Cyber-Angriffe" eher überraschend aus. Allgemein scheint die Bereitschaft, sich mit diesem Thema zu befassen, bei den verantwortlichen Unternehmen eher rückläufig zu sein.

Insbesondere die Teilnahme an staatlichen Programmen zum Schutz kritischer Infrastrukturen ist in Unternehmen im Vergleich zu 2010 weltweit gesunken. 2011 nahmen deutlich weniger Unternehmen an einem solchen staatlichen Schutzprogramm teil als 2010. In Deutschland wissen nur 34 Prozent der befragten Firmen von derartigen Programmen. Weltweit lag dieser Wert bei 34 Prozent. Im vergangenen Jahr waren es im internationalen Durchschnitt immerhin 55 Prozent. So ging auch die aktive Beteiligung daran zurück: 2010 nahmen weltweit noch 56 Prozent der Studienteilnehmer vollständig oder teilweise an den Programmen teil. In diesem Jahr sind es nur noch 37 Prozent. In Deutschland liegt der Anteil 2011 gerade einmal bei 28 Prozent. Die qualitative Bewertung staatlicher Schutzprogramme fällt unterschiedlich aus. Gefragt, was sie von den Schutzprogrammen der Regierung halten, enthielten sich 42 Prozent der Befragten einer Antwort oder bewerteten diese als neutral (in Deutschland: 46 Prozent).

Hinzu kommt, dass Unternehmen insgesamt weniger Ressourcen für die Sicherheit ihrer IT bereitstellen. Häufig wird laut Studie lediglich auf aktuelle Bedrohungen reagiert, statt langfristige Schutzkonzepte zu entwickeln. "Dies ist besonders beunruhigend, da ein Cyberangriff auf Unternehmen mit kritischen Infrastrukturen weitreichende Folgen für die nationale Sicherheit haben kann," kritisieren die Symantec-Experten. In der Folge fühlen sich die Unternehmen dieses Jahr auf einen Cyber-Angriff weniger gut vorbereitet als 2010. Nach Selbsteinschätzung der Unternehmen verringerte sich ihre Fähigkeit, Angriffe abzuwehren, im Durchschnitt um acht Prozentpunkte: So gaben in der aktuellen Studie 60 bis 63 Prozent an, dass sie wenig bis sehr gut gegen Attacken gerüstet sind - verglichen mit 68 bis 70 Prozent in 2010. In Deutschland fühlen sich dieses Jahr nur 48 bis 57 Prozent wenig bis sehr gut geschützt.

Als Grund für das sinkende Engagement im Bereich IT-Sicherheit nannte Symantec vor allem Personal- und Budgetmangel bei den Unternehmen. Auf andere mögliche Ursachen - wie etwa mögliche Probleme bei der Qualität staatlicher Schutzprogramme oder die Befürchtung von zuviel staatlicher Einmischung durch die Unternehmen - geht man kaum ein. Hier wären weitergehende Untersuchungen durchaus von Interesse.

Die Sicherheitsexperten fordern angesichts der Untersuchungsergebnisse: "Unternehmen und Regierungen weltweit sollten den Schutz dieser für Wirtschaft und Gesellschaft wichtigen Netzwerke stärker forcieren und in das Zentrum ihrer Bemühungen stellen."