Global Information Security Survey 2007

Deutsche CISOs: Ehre statt Geld

11. September 2007
Christiane Pütter ist Journalistin aus München. Sie schreibt über IT, Business und Wissenschaft. Zu ihren Auftraggebern zählen neben CIO und Computerwoche mehrere Corporate-Publishing-Magazine, vor allem im Bereich Banken/Versicherungen.
CISO in Deutschland - nicht der schlechteste Job. Zumindest auf den ersten Blick. Öfter als ihre internationalen Kollegen berichten deutsche Chief Information Security Officer an den Vorstand. Stärker als andere CISOs vertrauen sie ihrer Arbeit. Trotzdem bekommen sie knappere Budgets. Und: Immer häufiger scheitert die Sicherheit an den Mitarbeitern. So lautet das Fazit der Global Information Security Survey 2007, die PriceWaterhouseCoopers gemeinsam mit dem CIO-Magazin durchgeführt hat.
Ein Blick auf die Ausfallzeiten der Systeme.
Ein Blick auf die Ausfallzeiten der Systeme.

Lauter sonnige Gemüter, könnte man meinen. Knapp jeder zweite deutsche IT-Sicherheitsverantwortliche (48 Prozent) erklärt, in den vergangenen zwölf Monaten keine Minute Systemausfall gehabt zu haben. Im weltweiten Vergleich behaupten das nur 30 Prozent. Und während 44 Prozent der Deutschen volles Vertrauen in ihre Security-Aktivitäten setzen, sind es im Schnitt aller Befragten nur 32 Prozent.

Doch diese Zahlen vermitteln mit Sicherheit ein schiefes Bild. Beispiel Gefahr von innen: Die Analysten wollten wissen, wer Störfälle in den Unternehmen verursacht. Mehr als jeder zweite deutsche Entscheider (52 Prozent) nennt die Belegschaft als Quelle Nummer Eins, gefolgt von früheren Angestellten mit 18 Prozent. Noch vor einem Jahr sah das anders aus: Aktuelle und frühere Mitarbeiter kamen zusammen auf 47 Prozent der Nennungen. Ob diese dramatische Entwicklung auf ein steigendes Fehlverhalten der Belegschaft, verbesserte Tools oder erhöhte Sensibilität der Verantwortlichen zurückgeht, sei dahingestellt.

Hacker kommen in Deutschland dagegen in der aktuellen Erhebung "nur" auf 32 Prozent der Nennungen (Vorjahr: 50 Prozent). Das sind zehn Prozent weniger als etwa in den USA. Allerdings werden dort die Mitarbeiter "nur" von 47 Prozent als Bedrohung genannt.

Dei personelle Ausstattung innerhalb der verschiedenen Regionen.
Dei personelle Ausstattung innerhalb der verschiedenen Regionen.

Wenig erquicklich ist auch der Blick auf die personelle Ausstattung der Unternehmen. Einen dezidierten CISO gibt es nur in 15 Prozent der deutschen Firmen. Damit liegt die Bundesrepublik weit unter dem globalen Durchschnitt von 32 Prozent. Das ist umso erstaunlicher, als die "Alte Welt" (Europa) mit 38 Prozent CISOs sogar besser abschneidet als die Amerikaner, die genau im Schnitt von 32 Prozent liegen.