Laut Angaben der im Rahmen einer empirischen Erhebung der Nationalen Initiative für Internetsicherheit (NIFIS) befragten Branchenkenner werden deutsche Unternehmen bis 2011 ihre Ausgaben für die Informationssicherheit deutlich erhöhen. Knapp ein Viertel der Befragten geht dabei davon aus, dass die Betriebe in diesem Zeitraum ihre Budgets für IT-Sicherheit um fünfzig Prozent aufstocken. 18 Prozent wagen die Prognose, dass sich die Ausgaben in diesem sensiblen Bereich sogar verdoppeln. Nur eine Minderheit von sieben Prozent ist der Meinung, dass es bis 2011 nicht zu einer Steigerung der Investitionen kommen wird. "Das ist ein erfreuliches Ergebnis, auch wenn die in Kraft getretenen Richtlinien zu Basel II diesen Umstand sicherlich begünstigen und nicht alle Unternehmen aus Überzeugung in die Sicherheit investieren", kommentiert NIFIS-Vorstandsvorsitzender Peter Knapp (Bild). "Jetzt kommt es entscheidend darauf an, mit dem zur Verfügung gestellten Geld im Sinne einer langfristigen und vor allem kontinuierlichen Stabilisierung der Informationssicherheit in die richtigen Maßnahmen zu investieren."
Basel II begünstigt Sicherheitsempfinden
NIFIS wollte von den Experten deshalb auch wissen, welche Aktivitäten ihrer Meinung nach die Unternehmen künftig für die Erreichung dieses Zieles ergreifen werden. Im Fokus steht dabei überwiegend die Aufklärung und Schulung von Mitarbeitern sowie die Etablierung einer unternehmensweiten Security-Policy mit entsprechenden Verhaltensregeln. Jeweils siebzig Prozent der Befragten gehen davon aus, dass hauptsächlich in diese Maßnahmen mehr investiert wird. Dazu Peter Knapp: "Es ist sehr zu wünschen, dass die von uns befragten Experten Recht behalten - denn genau in diesem Punkt liegt das Hauptproblem." Die Studie hatte unter anderem ermittelt, dass nach Ansicht der Befragten derzeit die größte Gefahr für die Informationssicherheit eines Unternehmens von den eigenen Angestellten ausgeht. Trotzdem glauben nur dreißig Prozent der Branchenkenner, dass die Verantwortung der IT-Sicherheit in deutschen Unternehmen formell geregelt ist und es dazu auch schriftliche Regeln gibt. "Hier besteht definitiv noch Nachholbedarf. Zumindest die mittelständischen und großen Unternehmen sollten einen schriftlichen Verhaltenscodex etablieren, der den Umgang mit Daten verbindlich regelt", so Peter Knapp.
Chief Information Security Officer noch nicht Standard
Ähnlich lautet das Resultat bei der Frage, wie viele Unternehmen in Deutschland einen Chief Information Security Officer (CISO) beschäftigen. Nur fünf Prozent gehen davon aus, dass drei Viertel der Betriebe einen Verantwortlichen für die Informationssicherheit auf der Gehaltsliste führen, weitere 19 Prozent denken, dass dies bei der Hälfte der deutschen Unternehmen der Fall ist. 44 Prozent sind der Ansicht, dass nur 25 Prozent der Firmen einen CISO beschäftigen, 32 Prozent sagen sogar, dass die Zahl bei unter zehn Prozent liegt. 79 Prozent der Befragten gehen außerdem davon aus, dass Betriebe künftig vermehrt ihre Maßnahmen zur Gewährleistung der Informationssicherheit durch eine neutrale Institution überprüfen und zertifizieren lassen. 48 Prozent antworteten auf die entsprechende Frage mit einem klaren "ja", 31 Prozent entschieden sich für "stimmt teilweise". "Auch das würde für eine erhöhte Sensibilisierung der Betriebe sprechen. Von Vorteil ist dabei, dass eine neutrale Instanz die Sicherheitsvorkehrungen und Prozesse auf Lücken testet. Die Bestätigung eines hohen Grades an Sicherheit hat außerdem eine sehr starke Außenwirkung. Zudem ist auf diese Weise eine permanente Überprüfung der eingesetzten Sicherheitsvorkehrungen sowohl in technischer wie auch in organisatorischer Hinsicht gewährleistet."