Lauter sonnige Gemüter, könnte man meinen. Knapp jeder zweite deutsche IT-Sicherheitsverantwortliche erklärt, in den vergangenen zwölf Monaten keine Minute Systemausfall gehabt zu haben. Im weltweiten Vergleich behaupten das nur 30 Prozent. Und während 44 Prozent der Deutschen volles Vertrauen in ihre Security- Aktivitäten setzen, sind es im Schnitt aller Befragten nur 32 Prozent. Dennoch: Immer häufiger scheitert die Sicherheit in deutschen Unternehmen an den Mitarbeitern. So lautet das Fazit der Global Information Security Survey 2007, die PriceWaterhouse-Coopers gemeinsam mit dem CIO-Magazin durchgeführt hat.
Beispiel Gefahr von innen: Die Analysten wollten wissen, wer Störfälle in den Unternehmen verursacht. Mehr als jeder zweite deutsche Entscheider nennt die Belegschaft als Quelle Nummer eins, gefolgt von früheren Angestellten mit 18 Prozent. Noch vor einem Jahr sah das anders aus: Aktuelle und frühere Mitarbeiter kamen zusammen auf 47 Prozent der Nennungen. Ob diese dramatische Entwicklung auf ein steigendes Fehlverhalten der Belegschaft, verbesserte Tools oder erhöhte Sensibilität der Verantwortlichen zurückgeht, sei dahingestellt.
Hacker kommen in Deutschland in der aktuellen Erhebung "nur" auf 32 Prozent der Nennungen (Vorjahr: 50 Prozent). Das sind zehn Prozent weniger als etwa in den USA. Allerdings werden dort die Mitarbeiter „nur“ von 47 Prozent als Bedrohung genannt.
Wenig erquicklich ist auch der Blick auf die personelle Ausstattung der Unternehmen. Einen dezidierten CISO gibt es nur in 15 Prozent der deutschen Firmen. Damit liegt die Bundesrepublik weit unter dem globalen Durchschnitt von 32 Prozent. Das ist umso erstaunlicher, als Europa insgesamt mit 38 Prozent CISOs sogar besser abschneidet als die Amerikaner, die genau im Schnitt von 32 Prozent liegen.
Ein weiteres Ergebnis: Hierzulande hat jede fünfte Firma noch nicht einmal jemanden in ihrer Sicherheitsabteilung abgestellt, der ausschließlich für die Information Security zuständig ist. Im weltweiten Durchschnitt sind es nur zwölf, in den USA 13 Prozent. 56 Prozent der deutschen Studienteilnehmer geben an, in der Sicherheitsabteilung kümmerten sich ein bis zwei Kollegen ausschließlich um diesen Bereich. Von den US-amerikanischen Befragten nennt nur jeder Dritte eine so geringe Anzahl. Dafür sind dort in knapp jedem vierten Unternehmen mehr als elf IT-Security-Mitarbeiter tätig -diesen Wert erreicht in Deutschland noch nicht einmal jede zehnte Firma. Mit etwas gutem Willen ließen sich diese Ergebnisse so hinbiegen, dass in Deutschland kleine, aber feine Teams arbeiten. Geht es nämlich um das schon längst von Experten geforderte Zusammenrücken von physischer und digitaler Sicherheit, zeigen sich die Deutschen als Vorreiter. Und zwar mit Abstand: In fast jedem zweiten Unternehmen berichten die Abteilungen f für IT- und physische Sicherheit an denselben Vorgesetzten. Weltweit hat sich das erst in gut jeder dritten Firma durchgesetzt. Schlusslicht bilden die USA mit 32 Prozent.
Unsicherheit in Geldfragen
So viel zur Ehre. Das Ruhmesblatt welkt, wenn es ums Geld geht. 44 Prozent der Deutschen können sich die IT-Sicherheit in diesem Jahr nicht mehr kosten lassen als im Vorjahr. Immerhin: 24 Prozent dürfen mit bis zu zehn Prozent Budgetsteigerung rechnen. Gegenüber dem Vorjahr ist das wenigstens eine leichte Verbesserung (Stagnation: 47 Prozent, Erhöhung bis zehn Prozent: 22 Prozent).
Das sieht im internationalen Vergleich deutlich anders aus: Nur in 27 Prozent aller befragten Unternehmen stagnieren die Ausgaben, meist steigen sie um bis zu zehn Prozent. In jeder fünften Firma sogar stärker.
Damit fließen in rund jeder zweiten Firma (weltweit: 49 Prozent, Deutschland: 56 Prozent) zwischen einem und 24 Prozent des gesamten IT-Budgets in die Security. Ein Blick auf die Zahlen lässt allerdings vermuten, dass Entscheider am Gelde nicht hängen: 36 Prozent aller Studienteilnehmer konnten die Frage nach dem Sicherheitsanteil am IT-Topf überhaupt nicht beantworten. In Deutschland sind es immerhin auch 30 Prozent. So viel zur deutschen Gründlichkeit.
Mit der ist endgültig Schluss beim Thema Compliance: Glaubt man den Daten der Analysten, schert sich jeder Zweite nicht um Basel II - obwohl ihm klar ist, dass sein Unternehmen die Richtlinie befolgen müsste. Die European Union Data Privacy Directive erreicht mit 39 Prozent bewusster Nichtbeachtung etwas bessere Werte. Wobei natürlich offen bleibt, ob umgekehrt 61 Prozent derer, die sie befolgen müssen, das dann auch wirklich tun. Zumal die beiden Regularien, wenn man den Studienergebnissen glaubt, einfach nur die Positionen getauscht haben: In der Vorjahresbefragung sagten 37 Prozent, sie hielten sich vorschriftswidrig nicht an Basel II, und 51 Prozent erteilten der European Union Data Privacy Directive eine Absage.
Vielleicht sind deutsche CISOs deswegen so schlecht auf die Regelwerke zu sprechen, weil sie dabei draufzahlen. 32 Prozent geben an, Regularien würden die Sicherheitsausgaben "signifikant" in die Höhe treiben. Damit stehen sie allerdings immer noch besser da als die internationalen Kollegen: Im weltweiten Vergleich schreiben 42 Prozent der Entscheider Compliance anschwellende Ausgaben zu. Manche Deutsche scheinen das Beste draus zu machen, immerhin verzeichnen elf Prozent sogar sinkende Ausgaben. International sind es nur drei Prozent.
Die Kosten bilden auch in Sachen Effizienz den Dreh und Angelpunkt. 31 Prozent der Deutschen geben an, die Total Cost of Ownership (TCO) seien der wichtigste Maßstab, weltweit sagen das 25 Prozent. Auf Platz eins steht bei den internationalen Kollegen mit 26 Prozent der Nennungen der Return on Investment (ROI), unter den deutschen Befragten sagen das sechs Prozent weniger. Den Löwenanteil der Stimmen erhält jedoch die Gruppe der Ahnungslosen: 46 Prozent aller Befragten und erstaunliche 55 Prozent der Deutschen geben an, nicht zu wissen, wie die Effizienz der Security-Ausgaben gemessen wird.
Das hindert 57 Prozent aller CISOs (Deutschland: 55 Prozent) nicht daran, eine unternehmensübergreifende Information-Security-Strategie implementiert haben zu wollen. Warum sie sich für deren Wirksamkeit nicht interessieren, dürfte ihr Geheimnis bleiben. Immerhin konnten die Analysten die wichtigsten Maßnahmen erheben. Dazu zählen regelmäßige Audits (weltweit: 54 Prozent, Deutschland: 53 Prozent), Business Continuity/ Disaster Recovery Plans (weltweit: 51 Prozent, Deutschland: 52 Prozent) sowie Standards für das Implementieren der Infrastruktur (weltweit: 47 Prozent, Deutschland: 53 Prozent). Einen deutschen Ausreißer gibt es bei der Hardware: 77 Prozent der Studienteilnehmer geben an, ihre Endgeräte sicher zu entsorgen.Global sind es 58 Prozent.
Was die Technologie betrifft, liegen Firewalls (weltweit: 93 Prozent, Deutschland: 96 Prozent) sowie Data Backups (weltweit: 82 Prozent, Deutschland: 86 Prozent) und Spyware/Adware/Spam Detection Tools vorn (weltweit: 80 Prozent, Deutschland: 86 Prozent). Auch dazu ein auffallendes Ergebnis: Deutsche Entscheider sind Fans der Datenverschlüsselung, wie 72 Prozent angeben - elf Prozent mehr als der Durchschnitt.
Misstrauen statt Outsourcing
Dabei geben IT-Security-Verantwortliche hierzulande das Heft ungern aus der Hand. Auch dazu ein paar detaillierte Zahlen: Während 37 Prozent ihrer internationalen Kollegen Firewalls outsourcen, sind es unter den Deutschen mit 24 Prozent erheblich weniger. Weltweit vertrauen 29 Prozent der Befragten ihre Threat & Vulnerability Assessments einem Dienstleister an, aber nur 14 Prozent der Deutschen. 14 Prozent aller Befragten geben die drahtlose Sicherheit außer Haus, hierzulande sind es nur acht Prozent. Und wenn deutsche CISOs outsourcen, nehmen sie den Provider strenger unter die Lupe. 52 Prozent geben an, der Dienstleister müsse unterschreiben, sich an die Datenschutzrichtlinien des Unternehmens zu halten. Die internationalen Kollegen nehmen das mit 41 Prozent nicht so genau.
In der Gesamtbetrachtung der Ergebnisse zeigt sich in Deutschland vor allem in puncto finanzielle und personelle Ressourcen Nachholbedarf. Und ob das überdurchschnittlich hohe Vertrauen der Entscheider in ihre IT-Sicherheit mit objektiv stimmigen Ergebnissen oder Galgenhumor zu erklären ist, bleibt der Interpretation überlassen. Gleiches gilt für die Frage nach der Huhn-oder-Ei-Rollenverteilung beim Sicherheits-Störfaktor Mitarbeiter und der mangelnden Compliance. Marktforscher werden das kaum beantworten, ziehen sie sich doch gern auf den Kalauer zurück, dass zwar alles mit allem korreliert - aber nicht signifikant.
Für die Global Information Security Survey 2007 haben die Analysten von Pricewaterhouse Coopers zusammen mit dem CIO-Magazin weltweit knapp 10.000 Entscheider befragt, darunter mehr als 300 Deutsche. Es ist die größte Studie dieser Art.