Selbst in großen österreichischen Unternehmen sind Sicherheitslücken in der Informationstechnologie an der Tagesordnung. IT-Prozesse würden weder ausreichend dokumentiert noch überwacht. Zu diesem Ergebnis kommt eine Studie des Wirtschaftsprüfers Ernst & Young . "Große Schwachstellen aufgedeckt" "Wir haben bei zahlreichen IT-Prüfungen große Schwachstellen aufgedeckt", schilderte Michael Schirmbrand, Leiter der Abteilung eRisk Solutions bei Europa Treuhand Ernst & Young, die Situation. "Die Unternehmen werden durch Viren und Würmer, Trojanische Pferde und Angriffe von Mitarbeitern bedroht - diese sind sogar für zwei Drittel der Attacken verantwortlich. Die Sicherheitsvorkehrungen, die dagegen ergriffen werden, sind allerdings höchst mangelhaft." 75 Prozent verfügen über Notfallpläne Zwar würden 75 Prozent der Unternehmen über Notfallpläne verfügen, lediglich ein Drittel davon hätte diese aber einem Test unterzogen. Zwei Drittel der befragten Firmen würden Attacken auf das Firmennetzwerk zudem gar nicht entdecken. Auch hätten 75 Prozent der Antwortenden im vergangenen Jahr kritische Systemverluste verzeichnet. Hauptgründe für das niedrige Sicherheitsniveau seien die zunehmende Komplexität der Bedrohungen, mangelndes Gefahrenbewusstsein der Mitarbeiter und unzureichende IT-Budgets, so das Ergebnis der Studie. Persönliche Haftung des Managements Dies könnte sowohl für die beteiligten Unternehmen als auch für die verantwortlichen Manager zur Existenzbedrohung werden, erklärte Schirmbrand. Die IT-Leiter sowie deren Vorgesetzte und Vorstände würden die volle Verantwortung tragen, wenn durch den Zugang zu offenen Systemen Schäden entstünden, verwies Schirmbrand auf die Haftungsproblematik. Hier greife das Aktiengesetz oder das GmbH-Gesetz, Haftstrafen könnten die Folge sein. In Österreich komme es aber eher zu außergerichtlichen Einigungen, was aber oft in der Entlassung der zuständigen Personen münde. Imageschaden für ein Unternehmen Neben Produktivitätsausfällen oder Datenverlust sei es vor allem der Imageschaden für ein Unternehmen oder eine Marke, der hohe Kosten verursache. "Sicherheit ist immer solange zu teuer, bis man sieht, was passieren kann", so Schirmbrand. Zur Feststellung des Sicherheitsniveaus eines Unternehmens bietet Ernst & Young unterdessen "Ethical Hacking"-Tests (eine freiwillige Überprüfung auf Sicherheitslücken) an, die Schwachstellen in der IT-Infrastruktur offenlegen sollen. Zudem habe man eine Online-Datenbank entwickelt, die über 3.000 bekannte Sicherheitsmängel und Anleitungen zu deren Behebung enthalte. Diese würde rund um die Uhr von 150 Vollzeit-Arbeitskräften gewartet.(APA)