Abwehrstrategien in Zeiten knapper Kassen
Metagroup: IT-Security in Deutschland 2003
Die Relevanz von IT-Sicherheit ist unbestritten. Immerhin berichten 76 Prozent der deutschen Anwenderunternehmen von Schäden, die in den vergangenen zwei Jahren im eigenen oder bei ihnen bekannten Unternehmen entstanden waren. Das Sicherheitsbewusstsein der Unternehmen ist indes nur selektiv gestiegen. Anwenderunternehmen bewerten derzeit die Gefahr durch Virenbefall und "bösartigen" Code als eindeutig höchstes Sicherheitsrisiko. Neuen Herausforderungen wie der Sicherheit von Web Services oder mobilen Anwendungen schenken die Unternehmen noch wenig Aufmerksamkeit. Dort ist die "Drohkulisse" noch nicht ausreichend durch entsprechende Erfahrungswerte im Sinne von Schäden untermauert. Tatsächlich orientieren sich die Anwender bei Investitionen in IT-Sicherheit primär an rechtlichen Rahmenbedingungen, Anforderungen von Partnern und Kunden sowie an vergangenen Sicherheitsproblemen im eigenen Unternehmen. Dieses reaktive Investitionsverhalten birgt die Gefahr, dass viele neue Sicherheitslücken erst spät oder gar nicht gestopft werden.
"Leider wird IT-Security in Deutschland immer noch vorwiegend als technisches und produktorientiertes Thema begriffen", bemängelt Wolfram Funk, Berater bei der META Group. "Bei den organisatorischen Maßnahmen gibt es hingegen noch viel Nachholbedarf". Nur 25 Prozent der im Rahmen der META Group Studie befragten Unternehmen verfügten Anfang 2003 über eine dedizierte IT-Sicherheitsorganisation. Selbst große Unternehmen mit mindestens 1000 Mitarbeitern können in nur 53 Prozent der Fälle ein solches IT-Sicherheits-Team vorweisen. Damit liegen sie noch weit von den 75 Prozent der großen Global-2000-Unternehmen entfernt, die nach Schätzungen der META Group bereits Ende 2001 eine Security-Organisation hatten.
Nicht viel besser sieht es hinsichtlich der SecuritySecurity Policy als Grundlage für IT-Sicherheits-Infrastrukturen aus: Während nur 48 Prozent der deutschen Unternehmen eine schriftlich fixierte Security Policy vorweisen können, haben 37 Prozent noch nicht einmal entsprechende Planungen für die Zukunft. Alles zu Security auf CIO.de
Dies hat unter anderem zur Folge, dass sich die "Security Awareness" bei den Anwendern innerhalb des Unternehmens nicht ausreichend entwickeln kann. Die vorliegende Untersuchung zeigt, dass die deutschen Unternehmen gerade das geringe Sicherheitsbewusstsein der Anwender im Unternehmen als derzeit größtes Hemmnis für die Durchsetzung eines hohen Sicherheitsniveaus einschätzen. Außerdem fühlen sich die Verantwortlichen durch geringe Security-Budgets und die schlechte Messbarkeit von Risiken beziehungsweise des Return on Investment (ROIROI) behindert, gefolgt vom klassischen Thema "Personalmangel". Als weniger ausschlaggebend werden hingegen unreife Sicherheitstechnologien, unsichere Server-Betriebssysteme und die gegebenenfalls schwierige Integration von unterschiedlichen Produkten erachtet. "Damit wird deutlich, dass die wahren Hemmnisse aus Sicht der Anwenderunternehmen nicht in erster Linie im technischen Bereich liegen, sondern vielmehr im Umfeld von Ressourcen, Prozessen und "weichen" Faktoren", stellt Wolfram Funk fest. Alles zu ROI auf CIO.de
Trotz der angespannten IT-Budgets kommt der Markt für IT-Security-Produkte und -Dienstleistungen im Jahr 2003 mit einem blauen Auge davon. 37 Prozent der deutschen Unternehmen geben an, im Jahr 2004 ihr Sicherheits-Budget gegenüber 2003 erhöhen zu wollen; immerhin 40 Prozent rechnen mit konstanten Ausgaben. Nur knapp ein Viertel der Befragten rechnet mit abnehmenden Investitionen in IT-Security oder hat die Budgets für 2004 noch nicht festgelegt. IT-Sicherheit stellt bei deutschen Unternehmen insgesamt eine relativ feste Größe dar, die aufgrund der Anforderungen von rechtlichen Institutionen, Partnern und Kunden nicht Gegenstand umfassender Budget-Kürzungen sein kann.
Nähere Informationen:
Edith M. Horton
+49-89-99696-254
edith.horton@METAgroup.com