Der Schutz unternehmenskritischer und sensibler Datenbestände steht mittlerweile weit oben auf der Agenda von CIOs und IT-Leitern - auch weil Unternehmen diesbezüglich gesetzliche Regularien und Vorgaben einhalten müssen. IT-Sicherheit genießt dabei Vorrang vor der IT-Compliance.
IT-Sicherheit und -Compliance noch unterbewertet
Bei 75 Prozent der Unternehmen und Behörden hat IT-Sicherheit eine sehr hohe oder hohe Bedeutung, bei 59 Prozent der Bereich IT-Compliance. Immerhin ein Viertel der Befragten teilte mit, dass IT-Security für sie einen mittleren oder niedrigen Stellenwert habe. 41 Prozent trafen diese Aussage über den Bereich IT-Compliance. Diese Ergebnisse liefert die aktuelle Studie "IT-Sicherheitsstandards und IT-Compliance 2010" von Ibi Research aus Regensburg.
Im Widerspruch zur hohen Bewertung der Bereiche IT-Sicherheit und IT-Compliance und deren weiter steigender Bedeutung steht die geringe personelle Ausstattung der IT-Abteilung. 80 Prozent der Firmen beschäftigen im Bereich IT-Sicherheit und 81 Prozent im Bereich IT-Compliance keine bis maximal fünf Arbeitnehmer. Trotz der dünnen Personaldecke haben 71 Prozent der Firmen IT-Sicherheitsziele definiert. Etwas mehr als die Hälfte passt diese spätestens alle zwei Jahre neu an, knapp 30 Prozent unregelmäßig.
Personaldecke dünn, IT-Security-Management nicht akzeptiert
Angesichts der dünnen Personaldecke und im Hinblick auf die steigenden Anforderungen in punkto IT-Sicherheit und Compliance fordern die Fachabteilungen eine bessere finanzielle Ausstattung sowie mehr und qualifizierte Mitarbeiter. Ebenso beklagen sie sich über unzureichende Software-Unterstützung bei der Umsetzung von IT-Sicherheits- oder IT-Compliance-Vorhaben. Aktuell setzt knapp ein Drittel der befragten Firmen keine Software im Bereich IT-Sicherheit ein, im Bereich IT-Compliance ist es knapp die Hälfte.
Nur rund ein Fünftel der Befragten war mit der Qualität ihrer IT-Sicherheits- und IT-Compliance-Projekte auch zufrieden. Nicht einmal die Hälfte, nämlich 48 Prozent, bezeichnete diese als sehr gut oder gut. Ein Drittel schätzte die Projektqualität als lediglich befriedigend ein, knapp ein Fünftel als ausreichend bzw. mangelhaft.
Ein ernstzunehmendes Problem beim Management von IT-Sicherheit und IT-Compliance ist die mangelnde Akzeptanz auf Seiten der Mitarbeiter. Das gaben 54 Prozent der Befragten an. 37 Prozent beklagen die unzureichende Unterstützung durch die Geschäftsführung, den Vorstand oder die Amtsleitung.
Hinzu kommen Probleme bei der Schulung von Mitarbeitern sowie bei der fachlichen Implementierung und bei der technischen Realisierung der IT-Sicherheits- und IT-Compliance-Projekte.
IT-Sicherheit nur wenig zertifiziert
Bisher haben nur jeweils fünf Prozent der Befragten ein zertifiziertes Managementsystem für die IT-Sicherheit nach ISO 27001 auf Basis von IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik (BSI) oder nach ISO/IEC 27001 umgesetzt. Jedoch handeln vier Fünftel Prozent der Organisationen nach den Vorgaben und Standards dieser Normen. Das IT-Framework Cobit wendet dagegen nur ein Fünftel an.
63 Prozent setzen den IT-Grundschutz aufgrund der Vorgaben durch Gesetze oder Regularien ein. Bei einem Viertel der Institutionen war dessen Anwendung Voraussetzung dafür, ein Projekt durchführen zu können oder einen Auftrag zu gewinnen.
Bei 18 Prozent war ein Sicherheitsvorfall der Grund für die Einführung des IT-Grundschutzes. In ebenso vielen Fällen forderten Geschäftspartner dessen Anwendung. Organisationen, die zur Zertifizierung nach ISO/IEC 27001 spezielle Software-Produkte einsetzen, erzielten im Allgemeinen eine bessere Qualität bei der Umsetzung der Maßnahmen und Kontrollziele.
Missachtung von Sicherheitsvorgaben kaum geahndet
Missachten Mitarbeiter IT-Sicherheits- und IT-Compliance-Vorgaben, führt das in 71 Prozent (IT-Security) bzw. 59 Prozent (Compliance) der Fälle zu einer Belehrung durch den Vorgesetzten. Rund die Hälfte passt die Prozesse entsprechend an, um Verstöße zukünftig zu verhindern.
16 Prozent leiten rechtliche Schritte bei IT-Sicherheits-Verstößen ein, 13 Prozent bei der Verletzung von IT-Compliance-Vorgaben. Bedenklich ist den Studienautoren zufolge, dass im Bereich IT-Sicherheit 14 Prozent und im Bereich IT-Compliance 19 Prozent der Umfrageteilnehmer die Konsequenzen einer Missachtung der Compliance- und Sicherheitsvorgaben nicht kennen.
Ibi Research führte die branchenübergreifende Untersuchung in Zusammenarbeit mit dem BSI und dem Secumedia-Verlag durch und wertete dafür die Antworten von rund 300 Umfrageteilnehmern aus. Davon bezeichnen sich 48 Prozent als Sicherheitsbeauftragte, Security Manager und Sicherheitsmanager. Jeweils rund 15 Prozent sind IT-Leiter, Rechenzentrumsleiter sowie IT-Administratoren oder als Geschäftsführer, Vorstand und Amtsleiter für IT-Sicherheit verantwortlich. Ein Viertel der Befragten verantwortet mehrere Bereiche in einer Organisation.