Jedes zweite deutsche Unternehmen nimmt sich zu wenig Zeit, um die eigenen IT-Systeme zu sichern. Häufig fehlt eine unternehmensweit organisierte IT-Sicherheitsstrategie. Das wirkt sich negativ auf die Effizienz der Sicherheitsmaßnahmen aus. Viele Investitionen der letzten Jahre verpuffen, weil die einzelnen Maßnahmen nicht ineinandergreifen.

Zudem gibt jeder dritte IT-Manager und -sicherheitsexperte an, das mangelnde Risikobewusstsein der Budgetentscheider ist für das Scheitern von Sicherheitsinvestitionen mitverantwortlich. Zu diesen Ergebnissen kommt die Studie „IT-Security 2007" der InformationWeek, die zusammen mit Steria Mummert Consulting ausgewertet wurde.

In zwei Dritteln der befragten Unternehmen entscheidet das Top-Management über die Ausgaben für die Informationssicherheit. Und obwohl die Hälfte aller Firmen weiß, dass das bestehende Risikomanagement für die IT häufig nicht einmal den gesetzlichen Anforderungen genügt, richten nur wenige Budgetentscheider ihre Aufmerksamkeit verstärkt auf dieses Thema. Immerhin verfügen 69,8 Prozent aller Unternehmen über eine Security Policy. Sie stützt sich überwiegend auf das BSI-Grundschutz-Handbuch. Dennoch fehlen regelmäßige Kontrollprozesse. So werden die erstellten Richtlinien in 32,8 Prozent der befragten Unternehmen nur bei Bedarf auf ihre Effektivität und Effizienz hin überprüft und entsprechende Maßnahmen entwickelt.

Auf der anderen Seite kommt es vor, dass die Unternehmen ihre Sicherheitsstrategien und -maßnahmen zu häufig anpassen. Damit überfordern sie die Mitarbeiter, die sich ständig mit geänderten oder neuen IT-Sicherheitsbestimmungen oder -Tools vertraut machen müssen. Dies dämpft die Wirkkraft der Sicherheitsmaßnahmen. 17,4 Prozent der befragten IT-Fachkräfte fühlen sich überfordert, die Richtlinien deckungsgleich umzusetzen, weil sie sich ständig auf neue Änderungen einstellen müssen. „Auf der einen Seite ist es richtig, dass IT-Sicherheitsverantwortliche schnell auf neue Bedrohungen für die Firmen-IT reagieren. Dies darf sich allerdings nicht grundlegend auf die IT-Sicherheitsstrategie des Unternehmens auswirken", sagt Wolfgang Nickel, IT-Sicherheitsexperte bei Steria Mummert Consulting. Zudem sollten sämtliche technischen Maßnahmen so auf die Verhaltensregeln für die Mitarbeiter abgestimmt sein, dass sie sich nicht unter Umständen widersprechen und somit ein Fehlverhalten beim Mitarbeiter auslösen.

Diesen Beitrag diskutieren... (0 Beiträge) 

Tag it:

• Zwangsgeld gegen Microsoft
• Neue Archivversion PEGASOS 5 startet erfolgreich in Produktivbetrieb
• Call for Papers für Wireless Technologies Kongress
• Münchner Klinikverbund startet mit digitalem Archivsystem und konsolidiertem Krankenhausinformations

• Leitlinien für Transparenz beim Kauf von IT-Lösungen und Medizintechnik
• Langzeitarchivierung im Medizinbereich mit DISC
• Unternehmen versäumen Sicherung vertraulicher Daten
• Energieeffizienz ist für IT ein absolutes Muss