Kein Konzept für IT-Sicherheit

A.T. Kearney greift DAX-Konzerne an

Werner Kurzlechner lebt als freier Journalist in Berlin und stellt regelmäßig Rechtsurteile vor, die Einfluss auf die tägliche Arbeit von Finanzentscheidern nehmen. Als Wirtschaftshistoriker ist er auch für Fachmagazine und Tageszeitungen jenseits der IT-Welt tätig.
Die Berater lassen kein gutes Haar an der Security-Strategie der DAX30-Firmen. Ein Vorschlag: Den IT-Sicherheitsverantwortlichen dem CIO gleichstellen.
Hohe Dunkelziffer bei den Attacken, zu wenig finanzielles Engagement für die Abwehr der Angriffe.
Hohe Dunkelziffer bei den Attacken, zu wenig finanzielles Engagement für die Abwehr der Angriffe.
Foto: A.T. Kearney

In aller Schärfe kritisiert die Unternehmensberatung A.T. Kearney den Umgang deutscher Großunternehmen mit der IT-Sicherheit. Nach Einschätzung der Berater investieren die hiesigen Konzerne zu wenig Geld, arbeiten konzeptlos und mit einem auf Tools verengten Blick und üben falsche Zurückhaltung bei der Veröffentlichung von Hacker-Angriffen. A.T. Kearney stützt seine Kritik auf eine Auswertung der Jahresberichte der 30 DAX-Konzerne.

Auch die gängige Organisation der Informationssicherheit ist den Beratern ein Dorn im Auge. „Derjenige, der sich um die Informationssicherheit kümmert, muss dem CIO auf Augenhöhe begegnen und kritische Fragen stellen können“, fordert Michael Römer, Partner bei A.T. Kearney.

Sicherheitsverantwortliche meist nur Sachbearbeiter

Die meisten Sicherheitsverantwortlichen seien heute noch Teil der IT-Abteilung und oft auch nur auf der Sachbearbeiter-Ebene angesiedelt. Die Berater empfehlen nach Vorbild der Compliance-Verantwortung eine Ansiedlung außerhalb der IT – beispielsweise neben dem Revisionswesen.

A.T. Kearney bemängelt überdies, dass die Unternehmen zwar insgesamt 72,4 Milliarden Euro für ihre IT ausgeben, davon aber nur 2,5 Milliarden auf die IT-Sicherheit entfallen – also deutlich weniger als 4 Prozent. Dabei beziffere das Bundesinnenministerium den jährlichen Schaden für deutsche Firmen durch Industriespionage auf 50 Milliarden Euro. 95 Prozent der Unternehmen weltweit seien eine Zielscheibe für Cyber-Kriminelle oder massiv verwundbar.

Zur Startseite