Nur vier Prozent haben immer Überblick über das Sicherheitsniveau
Security-Level wird kaum geprüft
Prinzipiell gilt: Je größer ein Unternehmen ist, desto mehr investiert es in IT-Sicherheit. Fast zwei Drittel aller Firmen mit 1.000 bis 5.000 PC-Arbeitsplätzen hat IT-Sicherheitslösungen von mehr als drei Herstellern zum Schutz vor Viren, Spam & Co. im Einsatz.
Doch mit durchschnittlich mehr als 19 Stunden dauert es schlichtweg zu lange, um das aktuelle Security-Level festzustellen, das heißt um die Informationen aus den verteilten Sicherheitslösungen zu aggregieren, zu normalisieren und aussagekräftig aufzubereiten. Nur vier Prozent aller Befragten verfügen über einen permanenten Überblick über ihre Systeme.
Wer die Verantwortung für die Überwachung der IT-Sicherheit trägt, ist fast überall klar geregelt. In 73 Prozent der Unternehmen ist sogar eine feste Person dafür zuständig. Dennoch: IT-Sicherheit ist schon lange keine reine Angelegenheit der IT-Abteilung mehr. Das Management erwartet zunehmend, dass es über den Sicherheitsstatus der IT-Systeme informiert wird: Reports dazu werden in fast 90 Prozent aller befragten Unternehmen eingefordert.
Doch was wird eigentlich reportet? In etwa 70 Prozent der befragten Firmen gibt es Auswertungen, die aufzeigen, ob sich der IT-Schutz kontinuierlich verbessert. Doch nicht einmal die Hälfte der Befragten prüft regelmäßig, ob die Leistungen der Sicherheitssysteme im Rahmen konkreter Zielvorgaben liegen, etwa unter bestimmten Grenz- oder Schwellenwerten.