Risiko durch Geschäftspartner


Umfrage: Geschäftspartner verursachten Sicherheitsprobleme bei einem Drittel der Befragten
Sicherheitslücken im Extended Enterprise-Umfeld


(26.09.06) - Fast drei Viertel aller Unternehmen weltweit sind der Ansicht, dass sich ihr Informa-tionssicherheitsrisiko durch Geschäftspartner erhöht. 13 Prozent der Unternehmen haben bereits eine Geschäftsbeziehung aufgrund von Problemen mit der Informationssicherheit beendet. Dies ergab eine von dem IT-Security-Spezialisten Cybertrust kürzlich durchgeführte Befragung von weltweit über 200 Unternehmen. Während sich die weitaus meisten Unternehmen darin einig sind, dass die Sicherheit ihrer Geschäftspartner überwacht werden muss, ergreifen weniger als die Hälfe von ihnen tatsächlich Maßnahmen zur Beurteilung der Partner-Sicherheit. Die Studie ergab jedoch auch, dass diejenigen Unternehmen, die Beurteilungen der Partner-Sicherheit durchführen, die Wahrscheinlichkeit von Sicherheitsproblemen um mehr als den Faktor drei verringern konnten.

Auf die Frage, ob in ihrer Organisation im vergangenen Jahr ein Sicherheitsproblem im Zusammen-hang mit Geschäftspartnern aufgetreten ist, berichteten 32 Prozent der Befragten von mindestens einem Vorfall dieser Art. Weitere 12 Prozent gaben an, sich nicht sicher zu sein. Bei den Unter-nehmen, die Vorfälle meldeten, waren schädliche Computerprogramme (Malicious Code) die häufigste Ursache. 43 Prozent der Befragten meldeten Infektionen, gefolgt von unerlaubten Netzwerkzugriffen (27 Prozent), Denial of Service (neun Prozent), unzulässiger Benutzung oder Missbrauch des Systems (acht Prozent), Datendiebstahl (sieben Prozent) und betrügerischen Handlungen (sechs Prozent).

Peter Tippett, Chief Technology Officer, Cybertrust, sagte: "Während sich die Organisationen von isoliert arbeitenden Unternehmen zu in großem Umfang kooperierenden Netzwerken von Partnern, Lieferanten, Anbietern und Subunternehmern entwickeln, verhalten sie sich im Hinblick auf die Informationssicherheit immer noch so, als wären sie isolierte Einheiten. Viele Unternehmen haben zwar aufgrund von Compliance-Vorschriften und Sicherheits-Audits interne Sicherheitsmaßnahmen implementiert, müssen jedoch auch eine planmäßige Lösung finden, um die Sicherheit ihrer externen Netzwerke zu gewährleisten, zu denen auch Partner gehören. Ohne dieses Bewusstsein sind Organisationen weiterhin anfällig für finanzielle und juristische Risiken sowie für mögliche Image-Schäden."

Die Unternehmen haben durchweg erkannt, dass die Erfassung von Geschäftspartner-Informationen wichtig ist - 91 Prozent der Befragten waren der Meinung, dass die Informationssicherheit im Zusammenhang mit Geschäftspartnern von der Unternehmensleitung mit mittlerer bis hoher Priorität behandelt werden sollte. Jedoch spiegelt die vom Management tatsächlich zugeordnete Priorität eine andere Realität wider. Etwa die Hälfte der Befragten war der Meinung, dass das Management der Informationssicherheit keine oder nur eine geringe Priorität zuordnet. Die andere Hälfte war der Ansicht, dass das Management die Beurteilung der Partner-Sicherheit mit mittlerer oder hoher Priorität behandelt. Diese Erkenntnisse zeigen eine Diskrepanz von etwa 45 Prozent zwischen dem, was die Befragten für nötig halten, und dem, was in ihren Unternehmen letztendlich wirklich getan wird.
Auf die Frage, wie oft sie die Sicherheit der Informationssysteme ihrer Geschäftspartner beurteilen, antwortete etwa die Hälfte der befragten Personen "nie" oder "weiß nicht". 19 Prozent der Befragten führten nur vor Beginn der Geschäftsbeziehung eine Beurteilung durch, während die übrigen Befragten angaben, dass sie Beurteilungen nur während der Geschäftsbeziehung vornehmen (sieben Prozent), oder sowohl vor als auch während der Geschäftsbeziehung (23 Prozent).

Leider war bei denjenigen Organisationen, die Beurteilungen durchführen, die vorherrschende Methode eine einfache formlose Vereinbarung - sie gaben sich mit der Zusicherung des Partners zufrieden, dass seine Systeme sicher sind. Formale schriftliche Vereinbarungen folgten direkt danach an zweiter Stelle, während nur einige wenige Unternehmen Maßnahmen wie Fragebögen, kleinere Überprü-fungen und Audits durch externe Stellen anwandten.

Die oben genannten Ergebnisse erklären, warum 79 Prozent der Befragten der Meinung waren, dass eine unabhängige, objektive, zuverlässige und schnelle Methode zur Beurteilung der Sicherheitspraktiken ihrer Geschäftspartner für ihr Unternehmen vorteilhaft wäre. Cybertrust hat den Bedarf der Unternehmen zur Beurteilung ihrer Sicherheitsrisiken durch Geschäftspartner erkannt und wird im nächsten Monat sein "Partner Security Program" starten. (Cybertrust: ra)



Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen