Sparen an der IT-Sicherheit zahlt sich nicht aus

Unternehmen schätzen IT-Risiken falsch ein

25. November 2005
Von Tanja Wolff
IT-Risken werden bei vielen Firmen unterschätzt. Laut einer Untersuchung der Nationalen Initiative für Internet-Sicherheit (NIFIS) und der Beratungsgesellschaft IT Advisory Group findet nicht einmal in einem Zehntel der Unternehmen ein IT-Risikomanagement statt.

Viele Firmen sparen bei der IT oft an der falschen Stelle, so die Analyse. Dabei ignorieren sie häufig die IT-Sicherheit. "Kaum ein Unternehmen in Deutschland hat jemals errechnet, welche Kosten der Teil- oder Totalausfall der IT-Systeme tatsächlich verursachen würde", sagt Tilmann Jourdan, Analyst und Vorstand bei der IT Advisory Group. Ein solcher Vorfall könnte zu Produktivitätsverlusten und Umsatzeinbußen bis hin zur Konkursreife führen.

Weil viele Unternehmen die Risken bisher wirtschaftlich nicht beziffert haben, würden auch die Investitionen in IT-Sicherheit nur langsam voranschreiten, so die Untersuchung. Die meisten Unternehmen stecken 90 Prozent ihrer IT-Aufwendungen in den operativen Betrieb und die Wartung. Die Folge: Weil sich Sicherheitsbedrohungen schnell ändern, schaffen es die meisten Firmen nicht ihre Präventions- und Abwehrsysteme anzupassen.

Die wenigsten Firmen haben jemals eine IT-Geschäftswertberechnung durchgeführt und wissen nicht, welche IT-Systeme in welchem Maße zum Firmenwert beitragen, so Jourdan. Aus diesem Grund können sie nicht an den Stellen sparen, wo die Kosten am höchsten und die Beiträge zum Firmenwert am geringsten sind.

Interne Sabotage

Der Analyse zufolge, fällt die Infrastruktur meistens wegen firmeninterner Sabotage aus. Datenklau und Manipulation durch die Mitarbeiter ständen bei deutschen Unternehmen an der Tagesordnung. Eines der größten Sicherheitsrisiken besteht beim Umgang mit Systemberechtigungen. Es wird gefährlich, sobald der Systemadministrator seine Berechtigungen an andere Mitarbeiter weitergibt.