Wie die Untersuchung aufzeigt, gleicht das Bemühen um IT-Sicherheit manchmal einem Eiertanz. So halten die Befragten die Kontrolle der Mitarbeiter für unerlässlich, gleichzeitig beobachten sie, dass ein Zuviel an Regelungen und Kontrollmechanismen für Unmut sorgen und die Belegschaft demotivieren kann. Mit 48 Prozent erklärt fast jeder Zweite, Mitarbeiter beschwerten sich "oft" über Sicherheitsregeln.
56 Prozent der Befragten stimmen der Aussage zu, in ihrem Unternehmen sei das Sicherheitsprogramm "Alles in Allem" effektiv. Immerhin 15 Prozent stimmen dieser Einschätzung für ihre Firma nicht zu, mit 28 Prozent kann sich mehr als jeder Vierte in dieser Frage weder zu Zustimmung noch Ablehnung durchringen.
Die Analysten wollten wissen, welche Punkte als besonders wichtig für die Effizienz von IT-Sicherheitsrichtlinien gelten. Weil knapp zwei Drittel (62 Prozent) der Befragten bei ihrem Tagesgeschäft auf Informationsaustausch und Zusammenarbeit mit verschiedenen Abteilungen angewiesen sind, wird das Thema Security auf die höchste Ebene gerückt.
So sagte einer der Befragten, er verfüge über gute technische Möglichkeiten, aber ohne die Unterstützung von oben würden "all the bits in the world" nichts nützen. Kenneth J. Knapp, Management-Professor an der US Air Force Academy, bringt es mit den Worten auf den Punkt: "Im Sport geht nichts ohne Teamarbeit, das gleiche gilt für die Sicherheit in Unternehmen. Die Unternehmensführung muss praktisch als Trainer fungieren und das Teamwork stärken, um eine erfolgreiche Realisierung der Sicherheitsvorgaben zu ermöglichen."
81 Prozent der Befragten erklären denn auch, Security Policies seien in ihrem Unternehmen Sache des leitenden Managements. 14 Prozent geben an, dafür sei in ihrer Firma das mittlere Management zuständig. 62,5 Prozent der Unternehmen haben bereits einen Chief Security Officer eingesetzt.
Dennoch scheint ein Unterschied zwischen Theorie und Praxis zu bestehen: 69 Prozent der Befragten erklären, ihr Top-Management gebe IT-Sicherheitsfragen Priorität. Allerdings beobachten nur 51 Prozent der Studienteilnehmer, dass die Führungskräfte den Punkt Sicherheit in strategische Planungen miteinbeziehen. Jeder vierte Befragte bemängelt, dass die Führungsriege den Mitarbeitern des Hauses nicht genügend vorlebe, wie wichtig die IT-Sicherheit ist. Dass das Thema IT-Security intern ausreichend kommuniziert wird und die Belegschaft dessen Bedeutung richtig einzuschätzen weiß, denkt mit 47 Prozent nur knapp jeder Zweite.
Immerhin 14 Prozent sprechen der Sicherheitsabteilung ihres Hauses die fachliche Kompetenz ab.
Fazit der Befragung: Die besten Programme nützen einem Unternehmen nichts ohne übergreifende IT-Security-Policies, die vom Management engagiert nach innen vertreten werden.
IT-Sicherheit: Noch Mitte der neunziger Jahre kein Thema
In der Konsequenz halten die Analysten vier Punkte für ausschlaggebend: Die Implementierung wirkungsvoller Schulungsprogramme für User, das Schaffen einer sicherheitsorientierten Unternehmenskultur, das Formulieren von Sicherheitrichtlinien, die regelmäßig zu aktualisieren sind, und eine angemessene Durchsetzung dieser Richtlinien.
Ein weiteres Ergebnis der Studie zeigt, wie sich das Thema IT-Sicherheit ins Bewusstsein geschoben hat. Noch in den achtziger Jahren rangierte es bei Fragen nach der Dringlichkeit verschiedener Themen nie höher als Platz Zwölf, Mitte der Neunziger fiel es sogar aus den Top 20 heraus. Seit 2003 steht es mit an der Spitze. Schließlich hatte sich die Anzahl an sicherheitsrelevanten Vorfällen zwischen 1998 und 2003 jedes Jahr verdoppelt.
Für die Untersuchung wurden insgesamt über 1.600 CIOs aus Amerika, Europa und Asien befragt. Die Studie ist eine Kooperation der Auburn University und dem International Information Systems Security Certification Consortium (ISC)². (ISC)² bildet IT-Experten im Bereich Informationssicherheit aus.