Öffentliche Verwaltungen weisen in vielen Bereiche deutliche Umsetzungsprobleme im Bereich IT- und Informationssicherheit auf. Dies ist eine Erkenntnis der Studie Security Bilanz Deutschland des Analystenhauses techconsult. Das jetzt veröffentlichtes Market Paper mit dem Fokus auf öffentliche Verwaltungen untersucht, wie gut die derzeitige Umsetzung im Bereich der technischen Lösungen inklusive Mobile Security von den Verwaltungen bewertet wird. Darüber hinaus zeigt die Einschätzung der Gefährdungslage, dass öffentliche Verwaltungen sich häufig weniger bedroht fühlen als Unternehmen des Mittelstands.
Jährlich ermittelt die Security Bilanz Deutschland, wie es um IT- und Informationssicherheit in mittelständischen Unternehmen und öffentlichen Verwaltungen steht. Dabei konnte in den vergangenen Jahren festgestellt werden, dass das Bewusstsein um die Gefährdung kontinuierlich ansteigt. Trotzdem scheint sich in Sachen Absicherung noch nicht viel bewegt zu haben: Die eigene Einschätzung der Umsetzung von Maßnahmen und Lösungen ist aus Sicht der Befragten 2016 im Vergleich zum Vorjahr abermals schlechter geworden.
Es hapert schon beim Basisschutz
Öffentliche Verwaltungen berichten deutlich häufiger als mittelständische Unternehmen, dass sie mit der Umsetzung von IT-Sicherheit Probleme haben. Das betrifft sowohl technische Maßnahmen und Lösungen, als auch die organisatorische, rechtliche und strategische Umsetzung des Themas. Auf der technischen Ebene sind es nicht nur komplexe Lösungen, auch der Basisschutz weist Defizite auf. Mehr als die Hälfte der befragten Verwaltungen sieht Antiviren- und Malware-Schutz, Firewalls sowie E-Mail-Security und Spamfiter nicht gut umgesetzt. Auch Lösungen zur Absicherung mobiler Endgeräte weisen deutliche häufiger Umsetzungsprobleme auf, als dies im Mittelstand der Fall ist.
Aktuell ist insbesondere die Bedrohung durch verschlüsselnde Erpressungstrojaner, sogenannte Ransomware ein Thema, das auch viele öffentliche Verwaltungen bedroht. Nur knapp ein Viertel sieht dies jedoch als eine große oder sehr große Bedrohung an (27,5 %). Im Durchschnitt sind es jeweils mehr als ein Drittel der mittelständischen Unternehmen und Verwaltungen, die sich hiervon bedroht fühlen. Ähnlich gering wie bei den öffentlichen Verwaltungen wird die Bedrohung allenfalls von den Unternehmen des Handels eingeschätzt. Angesichts der Tatsache, dass in jüngster Vergangenheit viele Fälle von Ransomware-Befall bekannt wurden, auch im öffentlichen Sektor, erscheint diese Einschätzung somit als etwas zu sorglos.
Zudem berichtet eine gegenüber 2015 gestiegene Anzahl der befragten Verwaltungen, dass sie im vergangenen Jahr einen Einbruch in Systeme beziehungsweise Ausfall von Systemen oder Datenverlust erlitten haben. Rund 13 Prozent der befragten Verwaltungen waren davon betroffen. Dies liegt zwar leicht unter dem Durchschnitt aller befragten Mittelständler und Verwaltungen, dabei ist jedoch ein deutlicher Anstieg gegenüber dem Vorjahr festzustellen, was als darauf hinweist, dass sich die Bedrohungslage verschärft – zumal davon auszugehen ist, dass die Quote real noch etwas höher liegt, weil einige Vorfälle nicht gemeldet oder gar nicht bemerkt werden.
[1] Das Market Paper mit dem Fokus auf öffentliche Verwaltungen steht ab sofort auf MittelstandsWiki zum kostenfreien Download bereit. Das Paper wird unterstützt von Bitdefender und dem Bayrischen IT-Security Cluster. https://www.mittelstandswiki.de/wp-content/uploads/2016/06/techconsult-Market-Paper-Oeffentliche-Verwaltungen.pdf
Best Practices für die Benutzerrechte-Verwaltung und Applikationskontrolle
Öffentliche Verwaltungen und kommunale Unternehmen durch VPNs schützen
Mittelstand und öffentliche Verwaltungen: 5 Schritte für die IT-Sicherheit
E-Government wichtigste Aufgabe für die Öffentliche Verwaltung
Ransomware ist kein »Malware-Problem«, sondern kriminelles Business