Die Bedrohungslage für Unternehmen ist nach wie vor auf einem hohen Niveau. Um so erfreulicher ist es, dass im vergangenen Jahr der Anteil der Unternehmen, die in ihre IT-Sicherheit investierten um 20 Prozent anstieg. Dem aktuellen Lagebericht zur IT-Sicherheit des BSI zufolge plant die Mehrheit der Unternehmen, ihre Ausgaben für Sicherheitslösungen in diesem Jahr auf dem Vorjahresniveau zu halten oder sogar noch auszubauen.

Allerdings geben der Studie zufolge 54 Prozent der befragten Unternehmen aktuell weniger als fünf Prozent ihres Gesamt-IT-Budgets für die Sicherheitsmaßnahmen aus. Nur zwei Prozent gaben an, mehr als zehn Prozent ihres IT-Budgets in die Sicherheitsarchitektur fließen zu lassen. Der größte Teil der Ausgaben fließen in Investitionsbereiche, die die Kundenbindung verbessern sollen.

Glaubten 2007 die meisten Unternehmer daran, dass ihre Daten vor allem durch Nachlässigkeiten ihrer Angestellten bedroht sind, so zeigte sich 2008 ein deutlicher Wandel. Erstmals rangieren Hacking und vorsätzliche Manipulationen auf den Gefahrenlisten von Unternehmen auf Rang eins.

Mehr Sicherheitslücken in Software und Webapplikationen

Die Zahl der 2008 festgestellten Software-Sicherheitslücken nahm gegenüber dem Vorjahr zu, so die BSI-Studie. Besonders bedrohlich: Über drei Viertel der im Jahr 2008 neu entdeckten Schwachstellen können von einem entfernten Angreifer ausgenutzt werden. Für rund die Hälfte der neu gemeldeten Schwachstellen wurde von den Herstellern der Produkte kein Update zur Behebung des Sicherheitsproblems bereitgestellt.

E-Commerce-Unternehmen sind dabei besonders gefährdet, denn sie nutzen oftmals Internetseiten mit aktiven Inhalten. Die dafür verwendeten ActiveX-Steuerelemente waren in der Vergangenheit besonders anfällig für Angriffe. Vermehrt sind davon auch seriöse Webseiten betroffen, die von Angreifern manipuliert werden, um so Schadcode auf die Rechner der Nutzer zu übertragen. Laut Lagebericht weisen 90 Prozent aller Webseiten Schwachstellen auf. 65 Prozent davon sind für Cross-Site-Scripting-Attacken (XSS) geeignet, wodurch Hacker Webseiteninhalte verändern oder Benutzersessions übernehmen können. Zuletzt konnten Angreifer durch eine solche Sicherheitslücke in dem CMS Typo3 die Seiten von Bundesinnenminister Wolfgang Schäuble und dem Fussballklub Schalke 04 manipulieren.

Trotz einer steigenden Bedrohung durch Wirtschaftsspionage planen Unternehmen, auch in den kommenden Jahren mehr für das Outsourcing von Aufgaben auszugeben. Kritisch ist allerdings das Einhalten eines hohen Sicherheitsniveaus für die Datenübertragungen zwischen Dienstleister und Unternehmen. Zudem zeigt sich, dass die Nachfrage nach Software-as-a-Service (SaaS) steigt. Bis 2012 soll mindestens ein Drittel aller Unternehmensanwendungen als SaaS-Lösung genutzt werden.

Der Anstieg von Internetkriminalität führt zu steigenden Rechtsstreitigkeiten mit IT-Hintergrund. Aufgrund von fehlenden einheitlichen Regelungen zur IT-Sicherheit wird hierbei vor allem auf das bürgerliche und öffentliche Recht zurückgegriffen. Dabei schenken die Gerichte den technischen Rahmenbedingungen jedoch kaum Beachtung. Das Bundesamt für Sicherheit in der Informationssicherheit fordert daher verstärkt gesetzliche Vorgaben und Standards, die vorschreiben, dass und wie IT-Sicherheit bei Produkten und Dienstleistungen zu implementieren ist.

Der Lagebericht zur IT-Sicherheit 2009 steht auf der Webseite des Bundesamts für Sicherheit in der Informationstechnologie kostenlos zum Download bereit.