Studie belegt: Unternehmen haben zu wenig Zeit für IT-Sicherheit
Hamburg - Jedes zweite deutsche Unternehmen nimmt sich zu wenig Zeit, um die eigenen IT-Systeme zu sichern. Häufig fehlt eine unternehmensweit organisierte IT-Sicherheitsstrategie. Das wirkt sich negativ auf die Effizienz der Sicherheitsmaßnahmen aus. Viele Investitionen der letzten Jahre verpuffen, weil die einzelnen Maßnahmen nicht ineinandergreifen. Zudem gibt jeder dritte IT-Manager und -sicherheitsexperte an, das mangelnde Risikobewusstsein der Budgetentscheider ist für das Scheitern von Sicherheitsinvestitionen mitverantwortlich. Zu diesen Ergebnissen kommt die Studie "IT-Security 2007" der InformationWeek, die zusammen mit Steria Mummert Consulting ausgewertet wurde.
In zwei Dritteln der befragten Unternehmen entscheidet das Top-Management über die Ausgaben für die Informationssicherheit. Und obwohl die Hälfte aller Firmen weiß, dass das bestehende Risikomanagement für die IT häufig nicht einmal den gesetzlichen Anforderungen genügt, richten nur wenige Budgetentscheider ihre Aufmerksamkeit verstärkt auf dieses Thema. Immerhin verfügen 69,8 Prozent aller Unternehmen über eine Security Policy. Sie stützt sich überwiegend auf das BSI-Grundschutz-Handbuch. Dennoch fehlen regelmäßige Kontrollprozesse. So werden die erstellten Richtlinien in 32,8 Prozent der befragten Unternehmen nur bei Bedarf auf ihre Effektivität und Effizienz hin überprüft und entsprechende Maßnahmen entwickelt.
Auf der anderen Seite kommt es vor, dass die Unternehmen ihre Sicherheitsstrategien und -maßnahmen zu häufig anpassen. Damit überfordern sie die Mitarbeiter, die sich ständig mit geänderten oder neuen IT-Sicherheitsbestimmungen oder -Tools vertraut machen müssen. Dies dämpft die Wirkkraft der Sicherheitsmaßnahmen. 17,4 Prozent der befragten IT-Fachkräfte fühlen sich überfordert, die Richtlinien deckungsgleich umzusetzen, weil sie sich ständig auf neue Änderungen einstellen müssen. "Auf der einen Seite ist es richtig, dass IT-Sicherheitsverantwortliche schnell auf neue Bedrohungen für die Firmen-IT reagieren. Dies darf sich allerdings nicht grundlegend auf die IT-Sicherheitsstrategie des Unternehmens auswirken", sagt Wolfgang Nickel, IT-Sicherheitsexperte bei Steria Mummert Consulting. Zudem sollten sämtliche technischen Maßnahmen so auf die Verhaltensregeln für die Mitarbeiter abgestimmt sein, dass sie sich nicht unter Umständen widersprechen und somit ein Fehlverhalten beim Mitarbeiter auslösen.
An der Studie "IT-Security 2007" nahmen in der Zeit von Mai bis Juli 2007 533 IT-Manager und IT-Sicherheitsverantwortliche aus Deutschland teil. Die Befragung wurde in Form elektronischer Interviews von der Fachzeitschrift InformationWeek durchgeführt und mit Unterstützung von Steria Mummert Consulting ausgewertet.