Viele Firmen sparen bei der IT oft an der falschen Stelle, so die Analyse. Dabei ignorieren sie häufig die IT-Sicherheit. "Kaum ein Unternehmen in Deutschland hat jemals errechnet, welche Kosten der Teil- oder Totalausfall der IT-Systeme tatsächlich verursachen würde", sagt Tilmann Jourdan, Analyst und Vorstand bei der IT Advisory Group. Ein solcher Vorfall könnte zu Produktivitätsverlusten und Umsatzeinbußen bis hin zur Konkursreife führen.
Weil viele Unternehmen die Risken bisher wirtschaftlich nicht beziffert haben, würden auch die Investitionen in IT-Sicherheit nur langsam voranschreiten, so die Untersuchung. Die meisten Unternehmen stecken 90 Prozent ihrer IT-Aufwendungen in den operativen Betrieb und die Wartung. Die Folge: Weil sich Sicherheitsbedrohungen schnell ändern, schaffen es die meisten Firmen nicht ihre Präventions- und Abwehrsysteme anzupassen.
Die wenigsten Firmen haben jemals eine IT-Geschäftswertberechnung durchgeführt und wissen nicht, welche IT-Systeme in welchem Maße zum Firmenwert beitragen, so Jourdan. Aus diesem Grund können sie nicht an den Stellen sparen, wo die Kosten am höchsten und die Beiträge zum Firmenwert am geringsten sind.
Interne Sabotage
Der Analyse zufolge, fällt die Infrastruktur meistens wegen firmeninterner Sabotage aus. Datenklau und Manipulation durch die Mitarbeiter ständen bei deutschen Unternehmen an der Tagesordnung. Eines der größten Sicherheitsrisiken besteht beim Umgang mit Systemberechtigungen. Es wird gefährlich, sobald der Systemadministrator seine Berechtigungen an andere Mitarbeiter weitergibt.
"Die zugrunde liegenden Berechtigungskonzepte weisen in etwa 70 Prozent der mittelständischen Firmen und zehn Prozent der DAX-30-Unternehmen riesige Sicherheitslöcher auf", sagt Tilmann Jourdan. Aufgrund dieses Ergebnisses wird den Unternehmen geraten ihre Berechtigungsverfahren mindestens einmal pro Jahr extern prüfen zu lassen.
Zudem sollten sie IT-Risiken den Gschäftswertbetrachtungen gegenüberstellen. Nur so kann der wirtschaftliche Schaden von Ausfällen bewertet und dementsprechend auch die Wirtschaftlichkeit von Präventions- und Abwehrmaßnahmen kalkuliert werden.
NIFIS stützt sich bei der Untersuchung auf Praxisanalysen der Beratungsgesellschaft IT Advisory Group. Befragt wurden mehr als 180 deutsche, mittelständische Unternehmen und rund 14 internationale Konzerne aus allen Branchen.