Studie: IT-Sicherheit wird unterschätzt
Organisation der IT-Sicherheit oft vernachlässigt

IT-ManagementIT-ProjekteKarriereNetzwerk-ManagementNetzwerkeSicherheitSicherheitsmanagement

Sicherheitsverantwortliche schätzen das Risiko für ihr Unternehmen oft subjektiv falsch ein – ein Grund, sich mit dem Thema Risikomanagement näher zu beschäftigen. Das ermittelt die aktuelle Studie “IT-Security 2007”.

Faktor Mensch wird unterschätzt

Studie: IT-Sicherheit wird unterschätzt

Wer sich mit IT-Security im Unternehmen befasst, darf den sprichwörtlichen “Faktor Mensch” nicht vergessen – der oft einfach aus Bequemlichkeit Passwörter weitergibt, das Einspielen von Patches auf den Sankt-Nimmerleinstag verschiebt, vertrauliche Dokumente am Drucker liegen lässt oder doch mal auf fragwürdige E-Mail-Attachments klickt.

Während der Faktor Mensch neue, spektakuläre und seltene Ereignisse häufig überschätzt, gehören gewöhnliche und vertraute, scheinbar triviale Ereignisse oft zu den unterschätzten Risiken.

Trotzdem haben nur 33 Prozent von 533 befragten IT-Managern und Sicherheitsverantwortlichen aus deutschen Unternehmen ein Risikomanagement-System installiert, stellt CMP-WEKA in seiner Studie IT-Security 2007 fest, die der Verlag auf der Konferenz Live Security 2007 am Montag in Berlin vorstellte.(IT im Unternehmen berichtete).


(Die wenigsten Mitarbeiter sind nach Meinung ihrer Chefs vertraut mit Security-Richtlinien. Quelle: Security-Studie 2007 von Information Week)

Das heißt, 48 Prozent decken die Vorgaben der deutschen Gesetze wie das Aktiengesetz oder das HGB nicht vollständig ab. Hier sieht Frank Sautner von research+consulting Handlungsbedarf, da es ja letztlich auch um die revisionssichere Gestaltung von IT-Prozessen geht.


Objektivierung von Risiken erforderlich

Studie: IT-Sicherheit wird unterschätzt

“Das Risikomanagement hilft aber bei der Objektivierung von Risiken”, sagt Wolfram Funk, Senior Advisor von der Experton Group (www.experton-group.de) in seinem Vortrag “Technologieverliebtheit versus IT-Sicherheit”.

Ein Anfang wäre zum Beispiel eine qualitative Risiko-Analyse und die Definition einer Risk-Management-Policy. Vor der Entscheidung über den Einsatz von Technologien sollte man aber unbedingt den Prozess für das Risikomanagement selbst einführen, so Funk.

Auch gilt es zu überlegen, inwieweit sich das Outsourcing von Sicherheitsanwendungen lohnt. Bislang haben nur 71,9 Prozent der befragten Unternehmensvertreter einzelne IT-Sicherheitsanwendungen an externe Dienstleister vergeben. Diesen Aspekt wird IT im Unternehmen in der nächsten Woche in einem gesonderten Artikel vertiefen.


Sicherheit oft “ermogelt”

Studie: IT-Sicherheit wird unterschätzt

“Gescheiterte Sicherheitsprojekte? Haben wir nicht.” – Das können nur 18 Prozent der befragten Unternehmen von sich behaupten. Ganz oben auf der Hitliste für das Scheitern von Sicherheitsinvestitionen liegt wieder der “Faktor Mensch”, dieses mal in Form eines mangelnden Risikobewusstseins der Geschäftsführung (33 Prozent) und der Mitarbeiter (27,4 Prozent).

Weitere Gründe für das Scheitern: Kein Budget (27,2,Prozent), mangelnder Nutzen im Vergleich zu den Kosten (26,3 Prozent), kein Personal (16,5 Prozent), mangelnde Absprache zwischen Management und IT (13,5 Prozent) und schlechte Beratung durch Service Provider (7,5 Prozent) oder Hersteller (5,3 Prozent). Apropos Budget: Der prozentuale Anteil des IT-Security-Budgets am IT-Budget beträgt 12 Prozent (2006: 11,7 Prozent).

Etwas Positives am Schluss: Die Gefahr, dass vertrauliche Daten unkontrolliert abfließen können, scheint der Großteil der Befragten erkannt zu haben, obwohl Frank Sautner als einer der Studienautoren das hohe Ja-Aufkommen kaum glauben kann: 69,2 Prozent organisieren demnach ihren E-Mail-Verkehr gemäß aller gesetzlicher Anforderungen. Vielleicht habe hier der eine oder andere etwas gemogelt, so die Vermutung.