Kontakt: Antonia Wesnitzer
Deloitte & Touche GmbH
Pressereferentin
+49 89 29036-8825

Kontakt: Stefan Weiss
Deloitte & Touche, Germany
Senior Manager, Security Services
+49 69 75695-6355

Frankfurt, 22. Juni 2005 - Die Häufigkeit erfolgreicher interner Angriffe auf die Computersysteme der weltgrößten Finanzinstitute hat im vergangenen Jahr stärker zugenommen, als die bisher größte Bedrohung durch externe Sicherheitsangriffe.

Zu diesem Ergebnis kommt die aktuelle Deloitte Sicherheitsstudie 2005. 35 Prozent der Befragten bestätigten, innerhalb des letzten Jahres habe es Angriffe aus dem Unternehmen selbst gegeben; im Vorjahr waren es nur 14 Prozent. Im Vergleich beobachteten 26 Prozent der befragten Studienteilnehmer in den letzten zwölf Monaten Attacken von außen (23% in 2004). Die Verdoppelung der internen Sicherheitsverstöße stellt die Finanzinstitute vor neue, nun weniger technisch geprägte Herausforderungen.

 

Die inzwischen zum dritten Mal jährlich weltweit durchgeführte Sicherheitsstudie von Deloitte dient als Maßstab für den Sicherheitsstatus von IT-Systemen im Finanzsektor. Sie basiert auf Interviews mit Sicherheits-Managern der 100 größten Finanzinstitute der Welt.

 

Phishing und Pharming (das Ausspähen geheimer Informationen über gefälschte E-Mails und Websites) sind zwei bedeutende neue Sicherheitsrisiken, denen sich auch Finanzinstitute stellen mussten. Dabei spielt der Mensch in der Sicherheitskette eine äußerst kritische Rolle, denn es fand ein Trendwechsel von externen zu internen Angriffen statt. Kriminelle Strategien zielen nun häufiger gegen menschliches Verhalten als gegen technische Sicherheitslücken. Der verstärkte Einsatz von IT-Sicherheitstechnologien, insbesondere Antivirenlösungen (98 Prozent im Vergleich mit 87 Prozent in 2004), virtuelle private Netze (79 Prozent verglichen mit 75 Prozent) sowie Content-Filterung und -Überwachung (76 Prozent zu 60 Prozent) trug mit zur Verlagerung bei. Erfreulich ist, dass im internationalen Vergleich nirgendwo sonst so häufig Sicherheitsstandards wie ISO 17799 implementiert wurden (83 Prozent) wie bei europäischen Finanzinstituten.

 

„Bei der Implementierung technischer Lösungen und eines standardisierten Sicherheitsmanagements zum Schutz vor externen Bedrohungen hat der Finanzsektor in Europa große Fortschritte gemacht. Gegen die steigende Zahl neuer interner Sicherheitsverstöße und Angriffe, die sich sogar vermehrt direkt gegen die Kunden der Banken richten, ist allerdings noch kein Patentrezept gefunden“, erklärte Stefan Weiss, Senior Manager der Security Services bei Deloitte.

 

„Umfassende Strategien zur Kunden- und Mitarbeiterauthentifizierung, nachverfolgbare Sicherheitsrichtlinien und –standards und Schulungsmaßnahmen zur Erhöhung des Sicherheitsbewusstsein können die Sicherheitslücke schließen. Neu für viele europäische Finanzunternehmen ist dabei die offene und vertrauensbildende Kommunikation mit den eigenen Kunden.“

 

Die Umfrageergebnisse zeigen, für die Topmanager im Bereich Informationssicherheit haben Schulung und Aufklärung noch immer nicht die notwendige Priorität. Weniger als die Hälfte (46 Prozent) der Befragten planen in den kommenden zwölf Monaten Schulungs- oder Aufklärungsmaßnahmen. Wichtiger seien die Einhaltung gesetzlicher Vorschriften (für 74 Prozent) und Reporting & Messung (61 Prozent). Die Investitionspläne der Finanzinstitute sehen vor allem Gelder für Sicherheits-Tools (bei 64 Prozent) vor, aber kaum Mittel für Schulung und Aufklärung der Mitarbeiter (15 Prozent). Maßnahmen, die das Sicherheitsbewusstsein beim Kunden stärken sollen, wollen nur ganz wenige Banken umsetzen.

 

„Um Sicherheitsrisiken im menschlichen Verhalten zu minimieren, konzentrieren sich Finanzinstitute bisher leider immer noch viel zu stark auf rein technische Schutzmaßnahmen“, so Stefan Weiss. „Die zunehmende Verbreitung neuer Risiken wie Identitätsdiebstahl, Phishing und Pharming erfordert zwar Identity-Management-Systeme, die nicht nur den Systemzugriff kontrollieren und Schwachstellen erkennen, sondern auch Patches verteilen und sicherheitskritische Ereignisse melden. Um menschliches Versagen aber soweit wie möglich auszuschließen, müssen Sicherheits– und Aufklärungsmaßnahmen die Technik ergänzen.“

 

Weitere wichtige Umfrageergebnisse:

·   48 Prozent der Befragten hielten mangelndes Sicherheitsbewusstsein ihrer Mitarbeiter für besonders kritisch. Trotzdem sank die Zahl der im vergangenen Jahr durchgeführten Schulungs- und Aufklärungsmaßnahmen von 77 Prozent im Vorjahr auf 65 Prozent.

·   Fast drei Viertel der Befragten (74 Prozent) outsourcen mindestens eine IT-Funktion. 27 Prozent prüfen nicht regelmäßig, ob das Outsourcing-Unternehmen relevante Sicherheitsbestimmungen einhält.

·   In 86 Prozent aller Unternehmen in denen ein Chief Information Security Officer (CISO) tätig ist, berichtet dieser direkt an den Vorstand oder die Unternehmensleitung. Jedoch glaubt nur ein Drittel der Befragten, dass das Thema Sicherheit tatsächlich als geschäftskritisch eingestuft wird.

·   Unrealistische Termin- und Budgetvorgaben sind in 56 Prozent aller Fälle Ursache für gescheiterte Sicherheitsprojekte, gefolgt von Integrationsproblemen aufgrund schlechter Vorbereitung (48 Prozent) und mangelndem Engagement der Verantwortlichen auf geschäftlicher Seite (34 Prozent).

 

Ende

 

Methodik

Im Rahmen der Umfrage wurden Führungskräfte für Informationssicherheit (Chief Security Officers, Chief Information Officers, Security Management Teams) der 100 größten Finanzdienstleistungsunternehmen persönlich und per Online-Fragebogen interviewt. Die Fragen bezogen sich auf Wert, Risiken und Einsatz von Sicherheitstechnologien, die technologischen Investitionen, die Qualität von Sicherheitsprozessen und den Datenschutz. Berücksichtigt wurden öffentliche und private Unternehmen aus Nordamerika, Europa/Mittlerer Osten/Afrika, Asien-Pazifik und Lateinamerika/Karibik.

Deloitte Deutschland

Deloitte ist eine der führenden Prüfungs- und Beratungsgesellschaften in Deutschland. Das breite Leistungsspektrum umfasst Wirtschaftsprüfung, Steuerberatung, Consulting und Corporate Finance-Beratung. Mit über 3.200 Mitarbeitern in 18 Niederlassungen betreut Deloitte seit mehr als 90 Jahren Unternehmen und Institutionen jeder Rechtsform und Größe aus fast allen Wirtschaftszweigen. Über den Verbund Deloitte Touche Tohmatsu ist Deloitte mit 120.000 Mitarbeitern in nahezu 150 Ländern auf der ganzen Welt vertreten.

Deloitte bezieht sich auf Deloitte Touche Tohmatsu, einen Verein schweizerischen Rechts, dessen Mitgliedsunternehmen einschließlich der mit diesen verbundenen Gesellschaften. Als Verein schweizerischen Rechts haften weder Deloitte Touche Tohmatsu als Verein noch dessen Mitgliedsunternehmen für das Handeln oder Unterlassen des/der jeweils anderen. Jedes Mitgliedsunternehmen ist rechtlich selbstständig und unabhängig, auch wenn es unter dem Namen "Deloitte", "Deloitte & Touche", "Deloitte Touche Tohmatsu" oder einem damit verbundenen Namen auftritt. Leistungen werden jeweils durch die einzelnen Mitgliedsunternehmen, nicht jedoch durch den Verein Deloitte Touche Tohmatsu erbracht. Copyright © 2005 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft. Alle Rechte vorbehalten.