An der Büro-Tür steht Chief Information Security Officer - und hinterm Schreibtisch hockt ein schwer pubertierender Teenager mit mürrischem Gesicht. Mit diesem launigen Bild umschreiben die Analysten von PricewaterhouseCoopers (PwC) den durchschnittlichen IT-Sicherheitsverantwortlichen.
Die Auswertung der knapp 8.000 befragten Unternehmen bringt ein uneinheitliches Bild der IT-Security-Praxis hervor. Dennoch lassen sich in der noch immer jungen Disziplin übergreifende Trends ausmachen. Und zumindest eines ist klar: Über zu wenig Geld können sich CISOs kaum beklagen. Hatte der Anteil vom IT-Budget, der in die Sicherheit fließt, 2003 noch elf Prozent betragen, liegt er jetzt bei 17 Prozent. Knapp die Hälfte der Befragten rechnet auch weiterhin mit steigenden Etats, jeder Fünfte sogar im zweistelligen Bereich. Damit wachsen die Budgets für diesen Teilaspekt schneller als die Etats für die IT allgemein.
Nur jeder Fünfte stimmt die IT-Security auf die Geschäftsziele ab
Die Autoren der Studie wollten wissen, welcher Stellenwert der IT-Sicherheit zukommt und womit sich die Verantwortlichen hauptsächlich beschäftigen. Das Ergebnis halten sie für schwach: Nur jeder fünfte Befragte gibt an, die IT-Security auf die Geschäftsziele seines Unternehmens abzustimmen. Immerhin sind diese 20 Prozent schon mehr als die 15 Prozent aus der Vorjahres-Studie.
Aktuell gelten Data Back-Up, Network Firewalls und Application Firewalls als die drei wichtigsten Punkte auf der Prioritätenliste. Im Vorjahr las sich das ganz anders: Disaster Recovery (beziehungsweise Business Continuity), Sicherheits-Trainings für die Belegschaft und Data Back-Up hatten ganz oben gestanden. Und während 2005 gleich dahinter das Ziel genannt wurde, eine übergreifende Informationssicherheits-Strategie zu etablieren, taucht dieser Punkt in der jetzigen Liste überhaupt nicht mehr auf. Routine-Arbeiten wichtiger als strategische Planung? Nur 37 Prozent der Studienteilnehmer geben an, ihr Haus habe eine umfassende IT-Security-Strategie. Also haben fast zwei Drittel keine.
Ein weiteres Ergebnis: Die Haltung der Befragten zum Thema Compliance ist fast schon kriminell. Obwohl rechtliche Regelwerke zur Informationssicherheit Sanktionen bis hin zu Haftstrafen festschreiben, ignorieren sie immer mehr Verantwortliche. Beispiel Data Protection Act, Großbritannien: 2005 gaben 24 Prozent der Befragten an, sie wüssten, dass sie diese Vorgaben beachten müssen, tun es aber nicht. In diesem Jahr sind es sieben Prozent mehr. Was die EU-weite Datenschutzrichtlinie (European Union Data Privacy Directive ) betrifft, so wird sie von fast jedem Zweiten (45 Prozent) ignoriert. Immerhin scheint Sarbanes-Oxley sich Respekt verschaffen zu können, hier ist ein gegenteiliger Trend zu verzeichnen. Die Rate der Ignoranten fiel. Um drei Prozent. Jetzt gibt es also nur noch 35 Prozent SOX-Verweigerer. An dieser Stelle fragen sich die Analysten: "Soll das ein Zeichen jugendlichen Protestes sein?"
Sicherheit in der Informationstechnologie - das ist nicht nur ein Thema für zuhause. Vor dem Hintergrund von Outsourcing und Offshoring haben sich die Analysten in Indien umgeschaut. Und zeichnen ein scharfes Bild von der dortigen Daten-Unsicherheit. Ein paar Details: Während 57 Prozent aller Unternehmen im globalen Durchschnitt Spyware und Spam Detection Tools einsetzen (USA: 65 Prozent), sind es auf dem Subkontinent nur 39 Prozent. 58 Prozent aller Betriebe weltweit schützen ihre Netzwerke mit Security Tools (USA: 68 Prozent), unter den indischen Firmen nur 42 Prozent. Logische Konsequenz: IP-Diebstähle haben weltweit zwölf Prozent aller Firmen zu beklagen (USA: acht), aber 20 Prozent der Inder. Erpressungen kommen weltweit bei fünf Prozent der Unternehmen vor. In den USA bei zwei Prozent. Indien sprengt diese Statistik mit satten 15 Prozent.
Die Analysten geben zu Bedenken, dass diese eklatanten Mängel bekannt seien. "Offensichtlich", schreiben sie, "ist es einfacher, wegzuschauen, statt diese Probleme anzugehen.“
Physische und virtuelle Sicherheit wachsen zusammen
Die Autoren der Studie wissen aber auch von positiven Ergebnissen zu berichten. Stichwort physische und virtuelle Sicherheit: Eines der auffallendsten Resultate der aktuellen Befragung ist das wachsende Zusammenspiel von physischer und virtueller Sicherheit. Hatten 2003 erst 29 Prozent der Befragten angegeben, diese Dimensionen zu integrieren, sind es jetzt 75 Prozent. Einen entsprechenden Peak gibt es bei den Verantwortlichkeiten: Vor drei Jahren haben in elf Prozent der Unternehmen Sicherheitschef und Information Security Officer an ein- und denselben Executive Manager berichtet, heute schon in 40 Prozent der Betriebe. Wichtig ist das Zusammenrücken dieser Bereiche zum Beispiel dann, wenn Laptops verloren gehen oder gestohlen werden. Die Analysten gehen davon aus, dass die Verantwortlichen für physische und digitale Sicherheit für solche Fälle gemeinsame Notfallpläne entwickeln können.
Im Rundumschlag stellen die Analysten den IT-Sicherheitsfachleuten kein gutes Zeugnis aus. Was sie nach dem "Warum" suchen lässt. Als Fundstück präsentieren sie die Aussage, dass IT-Sicherheit nach wie vor als Kostenfaktor gilt und nicht als Beitrag zum Unternehmenserfolg. Genau das kann sie aber sein: Betriebe, die sicherheitstechnisch gut aufgestellt sind, fallen nachweislich weniger Attacken zum Opfer und sparen dadurch erhebliche Gelder ein. Wenn IT-Security als Teil des Business-Plans begriffen und der Verantwortliche auf der entsprechenden Hierarchie-Ebene angesiedelt wird, steigert sie die Wertschöpfung.
Die Analysten wollen ihre zum Teil recht deutlichen Worte denn auch nicht als Schelte verstanden wissen. Sie schreiben: "Wir hoffen, dass die Studie die Argumentation für einen strategischen Ansatz in der Informationssicherheit unterstützt. Und Strategie - vorausschauend denken, Handlungen und ihre Konsequenzen bedenken - ist natürlich ein Zeichen von Reife." Dann sitzt auch irgendwann kein schlecht gelaunter Teenager mehr im Zimmer des CISOs.
Die "The global state of information security"-Studie wurde bereits zum vierten Mal durchgeführt. Sie geht auf die Initiative der Magazine CIO und CSO zurück und ist die größte Untersuchung zur Informationssicherheit. Der Marktforscher PricewaterhouseCoopers (PwC) hat dafür mit 7.791 IT-Sicherheitsverantwortlichen aus unterschiedlichsten Branchen in 50 Ländern gesprochen.