Security-Policy ist noch für viele ein Fremdwort


Laut Angaben der im Rahmen einer empirischen Erhebung der Nationalen Initiative für Internetsicherheit (NIFIS) befragten Branchenkenner werden deutsche Unternehmen bis 2011 ihre Ausgaben für die Informationssicherheit deutlich erhöhen. Knapp ein Viertel der Befragten geht dabei davon aus, dass die Betriebe in diesem Zeitraum ihre Budgets für IT-Sicherheit um fünfzig Prozent aufstocken. 18 Prozent wagen die Prognose, dass sich die Ausgaben in diesem sensiblen Bereich sogar verdoppeln. Nur eine Minderheit von sieben Prozent ist der Meinung, dass es bis 2011 nicht zu einer Steigerung der Investitionen kommen wird. "Das ist ein erfreuliches Ergebnis, auch wenn die  in Kraft getretenen Richtlinien zu Basel II diesen Umstand sicherlich begünstigen und nicht alle Unternehmen aus Überzeugung in die Sicherheit investieren", kommentiert NIFIS-Vorstandsvorsitzender Peter Knapp (Bild). "Jetzt kommt es entscheidend darauf an, mit dem zur Verfügung gestellten Geld im Sinne einer langfristigen und vor allem kontinuierlichen Stabilisierung der Informationssicherheit in die richtigen Maßnahmen zu investieren."

Basel II begünstigt Sicherheitsempfinden

NIFIS wollte von den Experten deshalb auch wissen, welche Aktivitäten ihrer Meinung nach die Unternehmen künftig für die Erreichung dieses Zieles ergreifen werden. Im Fokus steht dabei überwiegend die Aufklärung und Schulung von Mitarbeitern sowie die Etablierung einer unternehmensweiten Security-Policy mit entsprechenden Verhaltensregeln. Jeweils siebzig Prozent der Befragten gehen davon aus, dass hauptsächlich in diese Maßnahmen mehr investiert wird. Dazu Peter Knapp: "Es ist sehr zu wünschen, dass die von uns befragten Experten Recht behalten - denn genau in diesem Punkt liegt das Hauptproblem." Die Studie hatte unter anderem ermittelt, dass nach Ansicht der Befragten derzeit die größte Gefahr für die Informationssicherheit eines Unternehmens von den eigenen Angestellten ausgeht. Trotzdem glauben nur dreißig Prozent der Branchenkenner, dass die Verantwortung der IT-Sicherheit in deutschen Unternehmen formell geregelt ist und es dazu auch schriftliche Regeln gibt. "Hier besteht definitiv noch Nachholbedarf. Zumindest die mittelständischen und großen Unternehmen sollten einen schriftlichen Verhaltenscodex etablieren, der den Umgang mit Daten verbindlich regelt", so Peter Knapp.

Chief Information Security Officer noch nicht Standard

Ähnlich lautet das Resultat bei der Frage, wie viele Unternehmen in Deutschland einen Chief Information Security Officer (CISO) beschäftigen. Nur fünf Prozent gehen davon aus, dass drei Viertel der Betriebe einen Verantwortlichen für die Informationssicherheit auf der Gehaltsliste führen, weitere 19 Prozent denken, dass dies bei der Hälfte der deutschen Unternehmen der Fall ist. 44 Prozent sind der Ansicht, dass nur 25 Prozent der Firmen einen CISO beschäftigen, 32 Prozent sagen sogar, dass die Zahl bei unter zehn Prozent liegt. 79 Prozent der Befragten gehen außerdem davon aus, dass Betriebe künftig vermehrt ihre Maßnahmen zur Gewährleistung der Informationssicherheit durch eine neutrale Institution überprüfen und zertifizieren lassen. 48 Prozent antworteten auf die entsprechende Frage mit einem klaren "ja", 31 Prozent entschieden sich für "stimmt teilweise". "Auch das würde für eine erhöhte Sensibilisierung der Betriebe sprechen. Von Vorteil ist dabei, dass eine neutrale Instanz die Sicherheitsvorkehrungen und Prozesse auf Lücken testet. Die Bestätigung eines hohen Grades an Sicherheit hat außerdem eine sehr starke Außenwirkung. Zudem ist auf diese Weise eine permanente Überprüfung der eingesetzten Sicherheitsvorkehrungen sowohl in technischer wie auch in organisatorischer Hinsicht gewährleistet."

Risk Academy

Die Intensiv-Seminare der RiskAcademy® konzentrieren sich auf Methoden und Instrumente für evolutionäre und revolutionäre Wege im Risikomanagement.

Seminare ansehen
Newsletter

Der Newsletter RiskNEWS informiert über Entwicklungen im Risikomanagement, aktuelle Buchveröffentlichungen sowie Kongresse und Veranstaltungen.

jetzt anmelden
Lösungsanbieter

Sie suchen eine Softwarelösung oder einen Dienstleister rund um die Themen Risikomanagement, GRC, IKS oder ISMS?

Partner finden
Ihre Daten werden selbstverständlich vertraulich behandelt und nicht an Dritte weitergegeben. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.