Zu wenig Zeit für IT-Sicherheit

Jedes zweite deutsche Unternehmen nimmt sich zu wenig Zeit, um die eigenen IT-Systeme zu sichern. Häufig fehle eine unternehmensweit organisierte IT-Sicherheitsstrategie. Viele Investitionen in diesem Bereich verpuffen aber auch, weil die einzelnen Maßnahmen nicht ineinander greifen und Lücken lassen. Zu diesen Ergebnissen kommt die Studie „IT-Security 2007“ der Zeitschrift InformationWeek.

Anzeige
© Heise Business Services

Die Studie zeigt auch, dass jeder dritte IT-Manager und -sicherheitsexperte der Meinung ist, das mangelnde Risikobewusstsein der Budgetverantwortlichen sei für das Scheitern von Sicherheitsinvestitionen mitverantwortlich. In zwei Dritteln der befragten Unternehmen entscheidet das Top-Management über die Ausgaben für die Informationssicherheit. Und obwohl in der Hälfte aller Firmen bekannt ist, dass das bestehende Risikomanagement für die IT häufig nicht einmal den gesetzlichen Anforderungen genügt, richten nur wenige Budgetverantwortliche ihre Aufmerksamkeit auf dieses Thema.

Immerhin verfügen 69,8% aller Unternehmen über eine Security Policy. Sie stützt sich überwiegend auf das Grundschutz-Handbuch des Bundesamts für Sicherheit in der Informationstechnik (BSI). Dennoch fehlen regelmäßige Kontrollprozesse. So werden die erstellten Richtlinien in 32,8% der befragten Unternehmen nur bei Bedarf auf ihre Wirksamkeit hin hin überprüft.

Andererseits passen manche Unternehmen ihre Sicherheitsstrategien und -maßnahmen so häufig an, dass ihre Mitarbeiter damit überfordert sind, sich mit den ständig neuen IT-Sicherheitsbestimmungen oder -Tools ausreichend vertraut zu machen. Das wiederum dämpft die Wirksamkeit der Sicherheitsmaßnahmen.

Selbst 17,4% der befragten IT-Fachkräfte fühlen sich überfordert, die Richtlinien derart oft neu umsetzen zu müssen. Schnelle Reaktion auf geänderte Sicherheitslagen sei zwar gut, aber nur, wenn sie nicht dazu führt, dass Mitarbeiter aus Frust ihre Umsetzung verweigern, mahnt deshalb die Studie.

An der Studie „IT-Security 2007“ nahmen 533 IT-Manager und IT-Sicherheitsverantwortliche aus Deutschland teil. Die Befragung wurde mit Unterstützung des Beratungsunternehmens Steria Mummert Consulting ausgewertet. (ots/ml) ENGLISH