Hin- und hergerissen sind Unternehmen beim Thema IT-Sicherheit. Einerseits ist ihnen klar, dass sie ihre laufenden Geschäfte und sensible Daten vor Gefahren wie Viren oder Würmern aus dem Internet absichern müssen. Andererseits wollen sie dem Thema IT-Sicherheit nicht alles unterordnen, da es in den wenigsten Fällen zu ihren Kernkompetenzen gehört.
In diesem Spannungsfeld haben Unternehmen verschiedene Strategien für den Umgang mit der Sicherheit entwickelt - mit ganz unterschiedlichem Erfolg. Die Schlusslichter in der Aberdeen-Studie verlieren im Schnitt 8,4 Prozent ihrer Einnahmen durch Probleme mit der IT-Sicherheit. Die Spitzengruppe büßt dagegen nur 1,4 Prozent ein. Insgesamt könnten Firmen mehrere Milliarden Dollar einsparen, wenn sie bei dem Thema strategischer vorgehen würden, so die Marktforscher von Aberdeen.
Als Vorbild dienen dabei bekannte Tugenden aus dem Risiko Management. Unternehmen, die ihre IT-Sicherheit besonders effizient organisiert haben, arbeiten dabei mit detaillierten Kosten-Nutzen-Rechnungen. Sie erfassen regelmäßig sowohl den finanziellen Aufwand für die IT-Sicherheit, als auch die positiven Effekte, die diese Investitionen mit sich bringen. Dabei protokolliert die IT-Abteilung nicht nur, wie oft das IT-System virenbedingt in die Knie geht. Stattdessen werden auch andere Unternehmensbereiche, beispielsweise Einkauf, Finanzen oder die Rechtsabteilung mit in die Auswertung einbezogen. Auf dieser Basis werden dann Ziele definiert, an denen sich die Sicherheits-Technologien messen lassen müssen.
Eindeutige Verantwortlichkeiten
Außerdem arbeiten die besonders effizienten Unternehmen mit klaren Strukturen. Sie stellen jährliche Budgets für die IT-Sicherheit auf und sorgen dafür, dass es eindeutige Zuständigkeiten gibt. Idealerweise wird die Stelle des Chief Security Officers (CSO) geschaffen, bei dem alle Fäden zusammen laufen. Dieser sollte nicht nur darüber Bescheid wissen, welche Bedrohung aus dem Internet gerade besonders gefährlich ist, sondern auch welche Prozesse zentral für den Unternehmenserfolg sind und deshalb besonders geschützt werden müssen.
Entsprechend zielgerichtet können solche Firmen dann auch bei der Auswahl der Sicherheits-Technologien vorgehen. In der Aberdeen-Studie zeichneten sich die effizientesten Unternehmen dadurch aus, dass sie ein genaues Kosten- und Anforderungsprofil für die Sicherheits-Software erstellen und dann unter den Anbietern den jeweils besten aussuchen (Best of breed).
Die Schlusslichter verließen sich dagegen auf die bereits in ihrer Unternehmenssoftware integrierten Sicherungsmechanismen. Dafür müssen sich solche Firmen am häufigsten, im Schnitt einmal pro Monat, mit Sicherheitsproblemen aus dem Internet herumschlagen. Firmen mit entsprechend ausgefeilten Strategien dagegen sind nur halb so häufig betroffen.
Tipps für die Praxis
Basierend auf dieser Analyse hat Aberdeen Empfehlungen zusammengestellt, durch die Firmen ihre IT-Sicherheit effizienter und besser gestalten können:
• Die Abteilungen IT, Einkauf und Finanzen sollten gemeinsam einen Budgetplan für die IT-Sicherheit erarbeiten.
• Manager der einzelnen Geschäftsbereiche werden regelmäßig gefragt, welche Sicherheitsprobleme ihnen besondere Bauchschmerzen bereiten.
• Auf Basis aller bisherigen Erfahrungen wird die Leistungsfähigkeit der IT-Sicherheit regelmäßig beurteilt.
• Unternehmen sollten immer Bild darüber sein, was über die einzelnen Geschäftsbereiche hinweg, die zentralen Sicherheitsbedürfnisse sind. Regelmäßig wird dann durch geeignete Kennziffern untersucht, ob die Ziele auch wirklich erreicht werden.
• Firmen sollten Kosten-Nutzen-Rechnungen aufstellen um die finanziellen Auswirkungen der Sicherheitspolitik im Unternehmen besser abschätzen zu können.
• Vor der Einführung neuer Technologien sollte genau geprüft werden, ob diese tatsächlich die Geschäftsprozesse verbessern können. Jedes neue Feature erhöht prinzipiell das Risiko für neue Sicherheitslecks.
Für die Studie führte Aberdeen eine Online-Befragung unter Führungskräften von mehr als 210 Unternehmen durch. Der Großteil der befragten Firmen ist in den USA und Kanada ansässig und setzt pro Jahr bis zu 50 Millionen US-Dollar um. Zwölf Prozent erwirtschaften einen Jahresumsatz von mehr als einer Milliarde Dollar.
Weitere Meldungen:
Schotten dicht für Viren und Würmer
Knappe IT-Budgets machen CSOs Sorgen
Mittelstand setzt auf mehr IT-Sicherheit
Bücher zu diesem Thema:
IT-Sicherheit mit System
Praxis des IT-Rechts
Studie aus diesem Bereich: