Studie Chefs unterschätzen IT-Sicherheit

Die Sicherheit der IT spielt in den Chefetagen hiesiger Unternehmen eine eher untergeordnete Rolle. Damit gefährden die Manager nicht nur die eigene Firma, sondern auch sich selbst.

Hamburg – Nur ein Drittel aller deutschen Unternehmen hat ein Risikomanagement für IT-Sicherheit eingerichtet. Das ist das Ergebnis der Studie "IT-Security 2007", die von der Fachzeitschrift "InformationWeek" gemeinsam mit der Unternehmensberatung Steria Mummert Consulting erstellt wurde.

Dieses Resultat ist umso bemerkenswerter, als dass deutsche Gesetze wie das Bundesdatenschutzgesetz, das KonTraG (Gesetz zur Kontrolle und Transparenz im Unternehmensbereich), das Aktiengesetz oder das HGB (Handelsgesetzbuch) die Einführung eines IT-Sicherheitskonzepts vorschreiben. Ab Juli 2008 greifen zudem EU-weit verschärfte Regeln in Bezug auf die Dokumentation der IT- und Telekommunikationsinfrastruktur eines Unternehmens.

Zwar kommen der Untersuchung zufolge mittlerweile in 80 Prozent der Unternehmen IT-Sicherheitslösungen zum Einsatz. Diese gingen allerdings nicht weit genug, um den gesetzlichen Vorgaben zu entsprechen. Dabei drohen Vorständen und Geschäftsführern bei Nichtbeachtung empfindliche Bußgelder und Geldstrafen, schlimmstenfalls sogar Gefängnis.

Tagesgeschäft hat Vorrang

Die Studie zeigt, dass IT-Sicherheit in den Chefetagen der befragten Unternehmen noch einen relativ geringen Stellenwert hat. Auf einer Skala von eins (geringe Priorität) bis zehn (hohe Priorität) gibt jedes dritte befragte Unternehmen dem Thema IT-Sicherheit Werte zwischen eins und drei. Verstärkte Sicherheitsmaßnahmen werden zwar befürwortet. Geht es jedoch um die konkrete Umsetzung der IT-Sicherheit, hat häufig das Tagesgeschäft Vorrang oder Budgetgründe sprechen gegen eine Dokumentation der IT-Infrastruktur und die Entwicklung eines Sicherheitsmanagements. Die Hälfte der befragten Fach- und Führungskräfte gibt laut Untersuchung an, dass aus Zeitmangel und aufgrund zu niedriger Budgets IT-Sicherheitsprojekte nicht durchgeführt werden können.

Neben den persönlichen Folgen für die Geschäftsleitung nimmt auch das Unternehmen selbst Schaden, wenn IT-Sicherheit zu stiefmütterlich behandelt wird. Firmen mit niedrigem IT-Sicherheitsstandard schwächen ihre Marktposition, weil sie beispielsweise aufgrund der Basel-II-Bestimmungen unter Umständen Kredite teurer einkaufen oder höhere Versicherungsprämien zahlen müssen.

In Teilfeldern haben die befragten Unternehmen der Studie zufolge die Situation erkannt und steuern gegen. Die Organisation des E-Mail-Verkehrs entspricht beispielsweise in 69,2 Prozent der Betriebe den jetzt geltenden Regelungen. Hier existieren unter anderem klare Vorschriften, wie und in welchem Umfang elektronische Post archiviert wird. Zudem ist die Nutzung von Firmenanwendungen für private Zwecke eindeutig geregelt.

Den Mangel an Zeit und Geld überwinden viele Firmen mit dem Auslagern von IT-Sicherheitsaufgaben an externe Spezialisten. Die Sicherheitsbereiche rund um E-Mail, Firewall, Einbruchsprävention und Virenschutz werden in mehr als der Hälfte der Unternehmen komplett oder teilweise von Dienstleistungsunternehmen betreut.

manager-magazin.de

Die Wiedergabe wurde unterbrochen.