Kein Geld, kein Personal

Die Schwachstellen der IT-Sicherheit

Dr. Andreas Schaffry ist freiberuflicher IT-Fachjournalist und von 2006 bis 2015 für die CIO.de-Redaktion tätig. Die inhaltlichen Schwerpunkte seiner Berichterstattung liegen in den Bereichen ERP, Business Intelligence, CRM und SCM mit Schwerpunkt auf SAP und in der Darstellung aktueller IT-Trends wie SaaS, Cloud Computing oder Enterprise Mobility. Er schreibt insbesondere über die vielfältigen Wechselwirkungen zwischen IT und Business und die damit verbundenen Transformationsprozesse in Unternehmen.

Nur rund ein Fünftel der Befragten war mit der Qualität ihrer IT-Sicherheits- und IT-Compliance-Projekte auch zufrieden. Nicht einmal die Hälfte, nämlich 48 Prozent, bezeichnete diese als sehr gut oder gut. Ein Drittel schätzte die Projektqualität als lediglich befriedigend ein, knapp ein Fünftel als ausreichend bzw. mangelhaft.

Ein ernstzunehmendes Problem beim Management von IT-Sicherheit und IT-Compliance ist die mangelnde Akzeptanz auf Seiten der Mitarbeiter. Das gaben 54 Prozent der Befragten an. 37 Prozent beklagen die unzureichende Unterstützung durch die Geschäftsführung, den Vorstand oder die Amtsleitung.

Hinzu kommen Probleme bei der Schulung von Mitarbeitern sowie bei der fachlichen Implementierung und bei der technischen Realisierung der IT-Sicherheits- und IT-Compliance-Projekte.

IT-Sicherheit nur wenig zertifiziert

Bisher haben nur jeweils fünf Prozent der Befragten ein zertifiziertes Managementsystem für die IT-Sicherheit nach ISO 27001 auf Basis von IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik (BSI) oder nach ISO/IEC 27001 umgesetzt. Jedoch handeln vier Fünftel Prozent der Organisationen nach den Vorgaben und Standards dieser Normen. Das IT-Framework Cobit wendet dagegen nur ein Fünftel an.

Die wenigsten Firmen haben ihr IT-Sicherheits-Management nach ISO 27001, ISO/IEC 27001/2, Cobit oder ITIL zertifiziert. Nur wenige wollen dies künftig nachholen.
Die wenigsten Firmen haben ihr IT-Sicherheits-Management nach ISO 27001, ISO/IEC 27001/2, Cobit oder ITIL zertifiziert. Nur wenige wollen dies künftig nachholen.
Foto: IBI Research

63 Prozent setzen den IT-Grundschutz aufgrund der Vorgaben durch Gesetze oder Regularien ein. Bei einem Viertel der Institutionen war dessen Anwendung Voraussetzung dafür, ein Projekt durchführen zu können oder einen Auftrag zu gewinnen.

Bei 18 Prozent war ein Sicherheitsvorfall der Grund für die Einführung des IT-Grundschutzes. In ebenso vielen Fällen forderten Geschäftspartner dessen Anwendung. Organisationen, die zur Zertifizierung nach ISO/IEC 27001 spezielle Software-Produkte einsetzen, erzielten im Allgemeinen eine bessere Qualität bei der Umsetzung der Maßnahmen und Kontrollziele.

Zur Startseite