Kein Geld, kein Personal
Die Schwachstellen der IT-Sicherheit
Nur rund ein Fünftel der Befragten war mit der Qualität ihrer IT-Sicherheits- und IT-Compliance-Projekte auch zufrieden. Nicht einmal die Hälfte, nämlich 48 Prozent, bezeichnete diese als sehr gut oder gut. Ein Drittel schätzte die Projektqualität als lediglich befriedigend ein, knapp ein Fünftel als ausreichend bzw. mangelhaft.
Ein ernstzunehmendes Problem beim Management von IT-Sicherheit und IT-Compliance ist die mangelnde Akzeptanz auf Seiten der Mitarbeiter. Das gaben 54 Prozent der Befragten an. 37 Prozent beklagen die unzureichende Unterstützung durch die Geschäftsführung, den Vorstand oder die Amtsleitung.
Hinzu kommen Probleme bei der Schulung von Mitarbeitern sowie bei der fachlichen Implementierung und bei der technischen Realisierung der IT-Sicherheits- und IT-Compliance-Projekte.
IT-Sicherheit nur wenig zertifiziert
Bisher haben nur jeweils fünf Prozent der Befragten ein zertifiziertes Managementsystem für die IT-Sicherheit nach ISO 27001 auf Basis von IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik (BSI) oder nach ISO/IEC 27001 umgesetzt. Jedoch handeln vier Fünftel Prozent der Organisationen nach den Vorgaben und Standards dieser Normen. Das IT-Framework Cobit wendet dagegen nur ein Fünftel an.
63 Prozent setzen den IT-Grundschutz aufgrund der Vorgaben durch Gesetze oder Regularien ein. Bei einem Viertel der Institutionen war dessen Anwendung Voraussetzung dafür, ein Projekt durchführen zu können oder einen Auftrag zu gewinnen.
Bei 18 Prozent war ein Sicherheitsvorfall der Grund für die Einführung des IT-Grundschutzes. In ebenso vielen Fällen forderten Geschäftspartner dessen Anwendung. Organisationen, die zur Zertifizierung nach ISO/IEC 27001 spezielle Software-Produkte einsetzen, erzielten im Allgemeinen eine bessere Qualität bei der Umsetzung der Maßnahmen und Kontrollziele.