Prinzipiell gilt: Je größer ein Unternehmen ist, desto mehr investiert es in IT-Sicherheit. Fast zwei Drittel aller Firmen mit 1.000 bis 5.000 PC-Arbeitsplätzen hat IT-Sicherheitslösungen von mehr als drei Herstellern zum Schutz vor Viren, Spam & Co. im Einsatz.
Doch mit durchschnittlich mehr als 19 Stunden dauert es schlichtweg zu lange, um das aktuelle Security-Level festzustellen, das heißt um die Informationen aus den verteilten Sicherheitslösungen zu aggregieren, zu normalisieren und aussagekräftig aufzubereiten. Nur vier Prozent aller Befragten verfügen über einen permanenten Überblick über ihre Systeme.
Wer die Verantwortung für die Überwachung der IT-Sicherheit trägt, ist fast überall klar geregelt. In 73 Prozent der Unternehmen ist sogar eine feste Person dafür zuständig. Dennoch: IT-Sicherheit ist schon lange keine reine Angelegenheit der IT-Abteilung mehr. Das Management erwartet zunehmend, dass es über den Sicherheitsstatus der IT-Systeme informiert wird: Reports dazu werden in fast 90 Prozent aller befragten Unternehmen eingefordert.
Doch was wird eigentlich reportet? In etwa 70 Prozent der befragten Firmen gibt es Auswertungen, die aufzeigen, ob sich der IT-Schutz kontinuierlich verbessert. Doch nicht einmal die Hälfte der Befragten prüft regelmäßig, ob die Leistungen der Sicherheitssysteme im Rahmen konkreter Zielvorgaben liegen, etwa unter bestimmten Grenz- oder Schwellenwerten.
Dabei ist sich eine überwiegende Mehrheit (88 Prozent) der Befragten einig, dass Transparenz in Bezug auf den Status der Sicherheitssysteme ein Schlüssel zu deren kontinuierlicher Verbesserung ist. Diese Mehrheit glaubt, dass ein Tool helfen könnte, das den Sicherheitsstatus immer aktuell darstellt.
Viele müssen mühsam Security-Daten sammeln
Doch die meisten Betriebe müssen für einen Report mühsam Daten sammeln und aufbereiten. Unternehmen, die verhältnismäßig lange für solch einen Bericht brauchen, verzichten eher auf einen Abgleich von Soll- mit Ist-Werten. Diese Gruppe benötigt im Durchschnitt über 24 Stunden für einen vollständigen Report, im Vergleich zu etwa 17 Stunden bei den "Soll-/Ist-Abgleichern". Ob mehr Unternehmen die Sicherheits-Level überprüfen würden, wenn sie es schneller könnten, kann Ampeg nur vermuten.
Im konkreten Krisenfall ist die schnelle Verfügbarkeit von Informationen entscheidend: Müssen spontan Infos über eine der Sicherheitskomponenten recherchiert werden, so gelingt dies 40 Prozent der Unternehmen in weniger als 30 Minuten. Mehr als 20 Prozent brauchen aber zwischen zwei und fünf Stunden, immerhin noch fast acht Prozent zwischen sechs und zehn Stunden. Das ist zu viel, wenn unmittelbare Abwehrmaßnahmen gefragt sind, finden die Studienleiter.
Ampegs Schlussfolgerung: Kontinuierliche und punktuelle Leistungsprüfungen könnten wertvolle Erkenntnisse für bessere Sicherheit und Security Policies liefern. In vielen Unternehmen sei die nötige Transparenz dafür durch ineffizientes Monitoring und Reporting nicht gegeben. Es bestehe also Optimierungspotenzial, vor allem in Hinblick auf die Kontrolle der eigenen Ziele. Ein professionelles Security-Level-Management könne Abhilfe schaffen.
Für die Studie "IT-Sicherheit organisieren, kontrollieren" wurden 77 leitende IT-Sicherheitsverantwortliche bei großen Unternehmen in Deutschland befragt.