Mehr als zwei Drittel der Befragten gehen davon aus, ihr Unternehmen besser schützen zu können, wenn sie ihre IT-Sicherheit nach anerkannten Standards zertifizieren. Ob sie diese Einschätzung in die Praxis umsetzen, hängt vor allem vom Verhalten der Wettbewerber ab: 64 Prozent nannten die Zertifizierungsentwicklung in der Branche als wichtigsten Faktor.
Als zweitwichtigster Faktor wurde mit 61 Prozent angegeben, die Zertifizierung der IT-Sicherheit müsse überschaubar zu realisieren sein. Die interne Risikoentwicklung folgte mit 59 Prozent auf Platz Drei. Akzeptable Projektkosten wurden von 53 Prozent als ausschlaggebend genannt.
Dass die Entscheidung für eine Zertifizierung der IT-Sicherheit von aktuellen Risiken abgekoppelt wird, deutet Erich Zimmermann von Security for Business als strategische Überlegungen der Befragten. "Eine mögliche Zertifizierung hat für die Unternehmen offenbar einen präventiven und grundsätzlichen Charakter", erklärt er.
Wie sich die Zertifizierung entwickelt, ist in den verschiedenen Branchen derzeit offen. Michael Tomas, der die akkreditierte Zertifizierungsstelle beim IT-Dienstleister Würth Phoenix leitet, nennt als ein Beispiel die Automobilindustrie: Dort zeichne sich eine Normierung vergleichbar mit ISO 27001 ab.
Allerdings hält nicht jeder Studienteilnehmer die Zertifizierung der IT-Sicherheit für erforderlich: 17 Prozent gaben an, ein solcher Schritt könne die Unternehmensrisiken eher nicht oder nur geringfügig mindern. 14 Prozent wollten keine Einschätzung abgeben.
Security for Business, eine Initiative aus Forschungseinrichtungen, Verbänden und Dienstleistern mit Sitz in Speyer, hat für die Studie 256 Unternehmen mit einem Umsatz von mehr als 200 Millionen Euro befragt.