Die wöchentliche CIO-Kolumne

CIO-Security-Untersuchung: Mehr taktische Reaktion als strategische Aktion

13. Oktober 2003
Heinrich Seeger arbeitet als IT-Fachjournalist und Medienberater in Hamburg. Er hat über 25 Jahre IT-journalistische Erfahrung, unter anderem als Gründungs-Chefredakteur des CIO Magazins. Er entwickelt und moderiert neben seiner journalistischen Arbeit Programme für Konferenzen und Kongresse in den Themenbereichen Enterprise IT und Mobile Development, darunter IT-Strategietage, Open Source Meets Business, droidcon und VDZ Tech Summit. Zudem gehört er als beratendes Mitglied dem IT Executive Club an, einer Community von IT-Entscheidern in der Metropolregion Hamburg.
Obwohl die Unternehmens-IT zunehmenden Risiken ausgesetzt ist - von außen ebenso wie von innen - haben sich Entscheider weltweit bislang nicht strategisch adäquat positioniert: Sie reagieren mehr - zumeist auf regulatorische Vorgaben und auf Branchentrends -, als dass sie ihre Risiken individuell bewerten und aktiv dagegen vorgehen. Zu diesem Ergebnis kommt eine internationale Studie von CIO zusammen mit Pricewaterhouse Coopers. Ein interessantes Detail: Nirgends auf der Welt war die Zahl der sicherheitskritischen Vorfälle so hoch wie in deutschen Unternehmen.

Die E-Mail-gestützte Untersuchung , an der sich im zweiten Quartal dieses Jahres 7596 IT-Entscheider, Sicherheitsverantwortliche und Unternehmensführer beteiligten, stellt den für IT-Sicherheit Verantwortlichen in den Unternehmen weltweit nach wie vor kein gutes Zeugnis aus. "Blocking and tackling", also jeden Angriff aus dem Netz, jedes offenkundige Loch im internen Netz blockieren und einzeln in Angriff nehmen, lautet die Devise.

Besser wäre es jedoch, Standards für die Überwachung zu etablieren und sie - durchaus nicht selbstverständliche - auch durchzusetzen. Nachhaltiger in seiner Wirkung wäre es, das Vorgehen gegen reale und vermutete Risiken in einer umfassenden Policy festzulegen; eben dieser Policy sollten die finanziellen Risiken, also die Werte unternehmenskritischer Daten und Anwendungen, zu Grunde gelegt werden.

Tatsächlich folgen dieser anspruchsvollen Empfehlung jedoch nur knapp ein Drittel der Unternehmen weltweit; jedes zehnte verzichtet gar ganz auf eine SecuritySecurity Policy. Und während CIOs ansonsten großen Wert darauf legen, die Effektivität der Prozesse in ihrem Verantwortungsbereich zu überprüfen und zu messen, sind es nur 37 Prozent, die sich dem Thema Security quantitativ nähern. Das Motto "Verbessern kann man nur das, was messbar ist", gilt hier also offenbar noch nicht. Alles zu Security auf CIO.de

An finanziellen Aufwendungen für IT-Sicherheit mangelt es dagegen offenbar insgesamt nicht, glaubt man den Befragten. Im Durchschnitt geben sie nämlich 11 Prozent ihres IT-Budgets für die Risikoabwehr aus. Bei den 671 Befragten aus Deutschland lag dieser Wert übrigens bei 10,2 Prozent und damit um ein Prozent höher als in den USA.

Diese Abweichung der Deutschen vom Durchschnitt ist noch im Rahmen - im Gegensatz zur Anzahl der Vorfälle pro Jahr und Unternehmen: Durchschnittlich 47 sicherheitsrelevante Ereignisse, vom Datendiebstahl über den Hackerangriff bis zum Virenbefall, meldeten die deutschen Umfrageteilnehmer. Weltweit gaben nur 17 Prozent mehr als zehn Vorfälle während der 12 Monate vor der Befragung an.

Heinrich Seeger, Chefredakteur CIO
Heinrich Seeger, Chefredakteur CIO