"So wird das nie was mit der IT-Sicherheit"
ITIL V3 hilft gegen Datenklau
Neulich rief bei Gartner-Analyst Jay Heiser eine Dame an, die die IT-Security einer Bank verantwortet. "Wie viel Prozent des IT-Budgets gibt eine Bank durchschnittlich für Sicherheit aus?" wollte sie wissen. Wozu sie das brauche, fragte er zurück. "Ich muss den Kauf von Security-Lösungen rechtfertigen", erklärte sie. Jay Heiser winkt ab, als er das erzählt. "So wird das nie was mit der IT-Sicherheit", sagt der Analyst düster.
Die spektakulären Zeitungsmeldungen über den jüngsten Datenklau-Skandal beim Karriere-Portal Monster könnten immerhin Bewusstsein für die Risiken schaffen, so Heiser. Grundsätzlich sei IT-Security aber weniger CIO-Sache, als viel mehr ein Thema für Vorstand und Linien-Manager. "Wenn die keine IT-Sicherheit vorleben, hat der CIO oder CISO wenig Möglichkeiten", so der Gartner-Analyst.
Konsequenz: Awareness-Programme in Unternehmen sind zu wenig. Es kann nicht nur darum gehen, Bewusstsein zu schaffen. Das ist zwar der erste Schritt, aber im zweiten Schritt muss ein Unternehmen den Mitarbeitern auf allen Ebenen klare Verhaltensregeln an die Hand geben. Und im dritten Schritt das Know-how und die Fähigkeit, diese Regeln täglich in die Praxis umzusetzen. Heiser fordert einen firmenkulturellen Change.
Immerhin gesteht er Führungskräften Lernfähigkeit zu. Wer diese als CIO in seinem Unternehmen schon nutzen kann und in Sachen Sicherheit mit aufgeklärten CEOs zu tun, sollte das Standardwerk ITIL V3 implementieren, rät der Gartner-Analyst.