Experte rät zu Katalog mit klaren Soll-Definitionen

IT-Sicherheit: Sensibilität allein reicht nicht

09. August 2007
Werner Kurzlechner lebt als freier Journalist in Berlin und stellt regelmäßig Rechtsurteile vor, die Einfluss auf die tägliche Arbeit von Finanzentscheidern nehmen. Als Wirtschaftshistoriker ist er auch für Fachmagazine und Tageszeitungen jenseits der IT-Welt tätig.
Was Firmen bei der IT-Sicherheit falsch machen, wissen Branchen-Experten sehr genau: Es fehlt nicht mehr an Einsicht, sondern an Taten. 65 Prozent der Spezialisten halten das Problembewusstsein für ausgeprägt. Sie bemängeln zugleich, dass die Unternehmen nötige Maßnahmen nicht umsetzen. Das geht aus dem Sicherheitsreport der Nationalen Initiative für Informations- und Internet-Sicherheit (NIFIS) hervor.
So schätzen die Experten den Grad der Sensibilisierung ein.
So schätzen die Experten den Grad der Sensibilisierung ein.

Kaum überraschend hebt NIFIS die Alarm-Signale hervor, die aus den Umfrage-Daten aufblitzen. Vielleicht lohnt es aber, exemplarisch zwei andere Phänomene in den Vordergrund zu rücken.

Zum einen lebt fast die Hälfte der Unternehmen seit langer Zeit auf einer Insel der sicheren Glückseligkeit: 47,1 Prozent der Befragten haben weder in diesem noch im vergangenen Jahr schädliche Vorfälle mitbekommen - nicht in der eigenen Firma und auch nicht in anderen. Im Umkehrschluss waren 53 Prozent wohl überwiegend selbst betroffen.

Zum anderen gibt ein Zehntel die Abwehr von IT-Gefahr anscheinend kampflos auf. 10,5 Prozent stimmten nämlich der Aussage zu: "Der Grad der Sensibilisierung ist niedrig und auch eine Aufklärung wird daran nichts ändern.“ Am anderen Ende der Skala tummeln sich sechs Prozent Optimisten, die in Sachen IT-Security alles für bestens geregelt halten.

Bei Einkauf von Hardware und Software handeln die Anwender nach Einschätzung von 35 Prozent der Befragten überlegt und völlig richtig. Fast 60 Prozent nehmen zwar Sicherheitsbewusstsein wahr, kritisieren aber einen zentralen Fehler. Demnach investieren die Unternehmen zu wenig Zeit, um die notwendigen Sicherheitsanforderungen zu definieren. Den Leistungsbeschreibungen der Hersteller vertrauen sie allzu blind.

Zur Startseite