Analysten stellen IT-Sicherheitsfachleuten schlechtes Zeugnis aus
Der Teenager im CISO-Büro
Ein weiteres Ergebnis: Die Haltung der Befragten zum Thema ComplianceCompliance ist fast schon kriminell. Obwohl rechtliche Regelwerke zur Informationssicherheit Sanktionen bis hin zu Haftstrafen festschreiben, ignorieren sie immer mehr Verantwortliche. Beispiel Data Protection Act, Großbritannien: 2005 gaben 24 Prozent der Befragten an, sie wüssten, dass sie diese Vorgaben beachten müssen, tun es aber nicht. In diesem Jahr sind es sieben Prozent mehr. Was die EU-weite Datenschutzrichtlinie (European Union Data Privacy Directive ) betrifft, so wird sie von fast jedem Zweiten (45 Prozent) ignoriert. Immerhin scheint Sarbanes-Oxley sich Respekt verschaffen zu können, hier ist ein gegenteiliger Trend zu verzeichnen. Die Rate der Ignoranten fiel. Um drei Prozent. Jetzt gibt es also nur noch 35 Prozent SOX-Verweigerer. An dieser Stelle fragen sich die Analysten: "Soll das ein Zeichen jugendlichen Protestes sein?" Alles zu Compliance auf CIO.de
Sicherheit in der Informationstechnologie - das ist nicht nur ein Thema für zuhause. Vor dem Hintergrund von OutsourcingOutsourcing und Offshoring haben sich die Analysten in Indien umgeschaut. Und zeichnen ein scharfes Bild von der dortigen Daten-Unsicherheit. Ein paar Details: Während 57 Prozent aller Unternehmen im globalen Durchschnitt Spyware und Spam Detection Tools einsetzen (USA: 65 Prozent), sind es auf dem Subkontinent nur 39 Prozent. 58 Prozent aller Betriebe weltweit schützen ihre NetzwerkeNetzwerke mit Security Tools (USA: 68 Prozent), unter den indischen Firmen nur 42 Prozent. Logische Konsequenz: IP-Diebstähle haben weltweit zwölf Prozent aller Firmen zu beklagen (USA: acht), aber 20 Prozent der Inder. Erpressungen kommen weltweit bei fünf Prozent der Unternehmen vor. In den USA bei zwei Prozent. Indien sprengt diese Statistik mit satten 15 Prozent. Alles zu Netzwerke auf CIO.de Alles zu Outsourcing auf CIO.de
Die Analysten geben zu Bedenken, dass diese eklatanten Mängel bekannt seien. "Offensichtlich", schreiben sie, "ist es einfacher, wegzuschauen, statt diese Probleme anzugehen.“
Physische und virtuelle Sicherheit wachsen zusammen
Die Autoren der Studie wissen aber auch von positiven Ergebnissen zu berichten. Stichwort physische und virtuelle Sicherheit: Eines der auffallendsten Resultate der aktuellen Befragung ist das wachsende Zusammenspiel von physischer und virtueller Sicherheit. Hatten 2003 erst 29 Prozent der Befragten angegeben, diese Dimensionen zu integrieren, sind es jetzt 75 Prozent. Einen entsprechenden Peak gibt es bei den Verantwortlichkeiten: Vor drei Jahren haben in elf Prozent der Unternehmen Sicherheitschef und Information Security Officer an ein- und denselben Executive Manager berichtet, heute schon in 40 Prozent der Betriebe. Wichtig ist das Zusammenrücken dieser Bereiche zum Beispiel dann, wenn Laptops verloren gehen oder gestohlen werden. Die Analysten gehen davon aus, dass die Verantwortlichen für physische und digitale Sicherheit für solche Fälle gemeinsame Notfallpläne entwickeln können.
Im Rundumschlag stellen die Analysten den IT-Sicherheitsfachleuten kein gutes Zeugnis aus. Was sie nach dem "Warum" suchen lässt. Als Fundstück präsentieren sie die Aussage, dass IT-Sicherheit nach wie vor als Kostenfaktor gilt und nicht als Beitrag zum Unternehmenserfolg. Genau das kann sie aber sein: Betriebe, die sicherheitstechnisch gut aufgestellt sind, fallen nachweislich weniger Attacken zum Opfer und sparen dadurch erhebliche Gelder ein. Wenn IT-Security als Teil des Business-Plans begriffen und der Verantwortliche auf der entsprechenden Hierarchie-Ebene angesiedelt wird, steigert sie die Wertschöpfung.