Analysten stellen IT-Sicherheitsfachleuten schlechtes Zeugnis aus

Der Teenager im CISO-Büro

24. Oktober 2006
Christiane Pütter ist Journalistin aus München. Sie schreibt über IT, Business und Wissenschaft. Zu ihren Auftraggebern zählen neben CIO und Computerwoche mehrere Corporate-Publishing-Magazine, vor allem im Bereich Banken/Versicherungen.
IT-Sicherheit 2006: Das Geld ist da, das Wissen auch - allein es fehlt am Handeln. Statt umfassende Strategien festzulegen, verlieren sich CISOs in der alltäglichen Routine. Und manche Gefahren, wie zum Beispiel die eklatanten Sicherheitslücken der Offshoring-Partner in Indien, werden sehenden Auges ignoriert. So lautet das Fazit der Analysten von PricewaterhouseCoopers (PwC) in der Studie "The global state of information security".
To-do-Listen der IT-Sicherheitsverantwortlichen im 2006/2005-Vergleich
To-do-Listen der IT-Sicherheitsverantwortlichen im 2006/2005-Vergleich

An der Büro-Tür steht Chief Information SecuritySecurity Officer - und hinterm Schreibtisch hockt ein schwer pubertierender Teenager mit mürrischem Gesicht. Mit diesem launigen Bild umschreiben die Analysten von PricewaterhouseCoopers (PwC) den durchschnittlichen IT-Sicherheitsverantwortlichen. Alles zu Security auf CIO.de

Die Auswertung der knapp 8.000 befragten Unternehmen bringt ein uneinheitliches Bild der IT-Security-Praxis hervor. Dennoch lassen sich in der noch immer jungen Disziplin übergreifende Trends ausmachen. Und zumindest eines ist klar: Über zu wenig Geld können sich CISOs kaum beklagen. Hatte der Anteil vom IT-Budget, der in die Sicherheit fließt, 2003 noch elf Prozent betragen, liegt er jetzt bei 17 Prozent. Knapp die Hälfte der Befragten rechnet auch weiterhin mit steigenden Etats, jeder Fünfte sogar im zweistelligen Bereich. Damit wachsen die Budgets für diesen Teilaspekt schneller als die Etats für die IT allgemein.

Nur jeder Fünfte stimmt die IT-Security auf die Geschäftsziele ab

Die Autoren der Studie wollten wissen, welcher Stellenwert der IT-Sicherheit zukommt und womit sich die Verantwortlichen hauptsächlich beschäftigen. Das Ergebnis halten sie für schwach: Nur jeder fünfte Befragte gibt an, die IT-Security auf die Geschäftsziele seines Unternehmens abzustimmen. Immerhin sind diese 20 Prozent schon mehr als die 15 Prozent aus der Vorjahres-Studie.

Aktuell gelten Data Back-Up, Network Firewalls und Application Firewalls als die drei wichtigsten Punkte auf der Prioritätenliste. Im Vorjahr las sich das ganz anders: Disaster Recovery (beziehungsweise Business Continuity), Sicherheits-Trainings für die Belegschaft und Data Back-Up hatten ganz oben gestanden. Und während 2005 gleich dahinter das Ziel genannt wurde, eine übergreifende Informationssicherheits-Strategie zu etablieren, taucht dieser Punkt in der jetzigen Liste überhaupt nicht mehr auf. Routine-Arbeiten wichtiger als strategische Planung? Nur 37 Prozent der Studienteilnehmer geben an, ihr Haus habe eine umfassende IT-Security-Strategie. Also haben fast zwei Drittel keine.