Nur ein Drittel aller deutschen Unternehmen hat ein Risikomanagement für IT-Sicherheit eingerichtet. Und das, obwohl deutsche Gesetze wie das Bundesdatenschutzgesetz, KonTraG, Aktiengesetz oder HGB die Einführung eines IT-Sicherheitskonzepts vorschreiben. Ab Juli 2008 greifen zudem EU-weit verschärfte Regeln in Bezug auf die Dokumentation der IT- und Telekommunikationsinfrastruktur eines Unternehmens. Zu diesen Ergebnissen kommt die Studie „IT-Security 2007“ der InformationWeek.
Zwar kommen mittlerweile in 80% der Unternehmen IT-Sicherheitslösungen zum Einsatz. Diese gehen allerdings nicht weit genug, um den gesetzlichen Vorgaben zu entsprechen. Die Vorstände und Geschäftsführer dieser Unternehmen unterschätzen dabei, dass ihnen bei Nichtbeachtung empfindliche Bußgelder und Geldstrafen, schlimmstenfalls sogar Gefängnis, drohen.
Auf einer Skala von eins (geringe Priorität) bis zehn (hohe Priorität) gibt jedes dritte befragte Unternehmen dem Thema IT-Sicherheit Werte zwischen eins und drei. Verstärkte Sicherheitsmaßnahmen werden zwar befürwortet. Geht es jedoch um die konkrete Umsetzung der IT-Sicherheit, hat häufig das Tagesgeschäft Vorrang oder Budgetgründe sprechen gegen eine Dokumentation der IT-Infrastruktur und die Entwicklung eines Sicherheitsmanagements. Die Hälfte der befragten Fach- und Führungskräfte gibt an, dass aus Zeitmangel und aufgrund zu niedriger Budgets IT-Sicherheitsprojekte nicht durchgeführt werden können.
Neben den persönlichen Folgen für die Geschäftsleitung nimmt auch das Unternehmen selbst Schaden, wenn IT-Sicherheit zu stiefmütterlich behandelt wird. Neben einem massiven Ansehensverlust schwächen Firmen mit niedrigem IT-Sicherheitsstandard ihre Marktposition. Sie müssen beispielsweise aufgrund der Basel II-Bestimmungen unter Umständen Kredite teurer einkaufen oder höhere Versicherungsprämien zahlen.
In Teilfeldern haben die befragten Unternehmen die Situation allerdings erkannt. Die Organisation des E-Mail-Verkehrs entspricht beispielsweise in 69,2% der Betriebe den jetzt geltenden Regelungen. Hier existieren unter anderem klare Vorschriften, wie und in welchem Umfang elektronische Post archiviert wird. Zudem ist die Nutzung von Firmenanwendungen für private Zwecke eindeutig geregelt.
Den Mangel an Zeit und Geld überwinden viele Firmen mit dem Auslagern von IT-Sicherheitsaufgaben an externe Spezialisten. Die Sicherheitsbereiche rund um E-Mail, Firewall, Einbruchsprävention und Virenschutz werden in mehr als der Hälfte der Unternehmen komplett oder teilweise von Dienstleistungsunternehmen betreut.
Die Studie „IT-Security 2007“ wurde von der Zeitschrift InformationWeek durchgeführt und zusammen mit dem Beratungsunternehmen Steria Mummert Consulting ausgewertet und kann dort gegen Bezahlung bezogen werden. (ots/ml)