IT-Sicherheit: Sensibilität allein reicht nicht

NIFIS-Vorstandsvorsitzender Peter Knapp hat deshalb folgenden Rat parat: "Die Anforderungen in Bezug auf die IT-Sicherheit müssen explizit formuliert und gemeinsam mit dem Auftragnehmer in einem Katalog mit klaren Soll- und Ist-Listen überprüft werden."

Hohe Komplexität ist ein Sicherheitsrisiko

In einem eigenen Fragen-Komplex spürte NIFIS den Ursachen nach, die Mitarbeiter zu einem Risiko-Faktor machen. Ein Drittel geht sehr stark davon aus, dass es an klaren Verhaltensregeln in den Betrieben fehlt. "Mitarbeiter müssen genau wissen, was sie dürfen und was nicht", sagt Knapp.

29,5 Prozent halten die manchmal überkomplexe IT-Organisation für einen ausschlaggebenden Faktor. Sie denken, es sei den Mitarbeitern oft unmöglich, Security-Anforderungen in vollem Umfang zu erfüllen.

Im Vergleich zu diesen zentralen Punkten gehen die Experten recht milde mit den Firmen, der Persönlichkeit der Mitarbeiter und der verfügbaren Technologie, um: 18 Prozent sehen im mangelhaften Verantwortungsbewusstsein der Mitarbeiter ein Kernproblem, 13 Prozent in der nicht ausreichenden Fehler-Toleranz der Produkte. Dass Mängel in der Mitarbeiter-Schulung des Pudels Kern seien, meinen nur zwölf Prozent.

NIFIS befragte für ihren "Deutschen Sicherheitsreport" 50 IT-Sicherheits-Spezialisten.