Am Geld scheitert es nicht: Satte 98 Prozent der Studienteilnehmer haben ihre Informationssicherheitsbudgets in diesem Jahr erhöht. Dabei geht es insbesondere um Identitäts-Management (50 Prozent der Nennungen) und Compliance (49 Prozent).
Fast gleichauf rangiert mit 48 Prozent der Nennungen bereits das Thema "Security Training und Awareness". Deloitte sieht hier einen Richtungswechsel, hatten in den letzten Jahren doch Investitionen in technische Lösungen im Vordergrund gestanden.
Das scheint auch nötig: In einer explorativen Studie des Anbieters Actimize unter 40 Entscheidern hatten 85 Prozent der Befragten offen von mindestens einem Fall in den letzten zwölf Monaten berichtet, in dem sich ein Mitarbeiter von Kriminellen hatte anwerben lassen. Meist ging es um Datendiebstahl für Dritte, Untreue, Selbstbereicherung oder rechtswidrige Absprachen mit der Konkurrenz. Die Manager waren sich darin einig, dass solche Probleme zunehmen dürften.
Den Vorwurf mangelnden Bewusstseins brauchen sich Banken, Versicherungen und Finanzdienstleister dabei nicht gefallen zu lassen, wie nun die Deloitte-Studie belegt: 84 Prozent der Unternehmen haben einen dezidierten Chief Information Security Officer eingesetzt. Damit ist diese Branche vorbildhaft. Wie die größte Untersuchung zur Informationssicherheit, die Global Information Security Survey vom CIO-Magazin in Zusammenarbeit mit PricewaterhouseCoopers, ergeben hat, arbeitet im weltweiten Durchschnitt nur in 32 Prozent aller Unternehmen ein CISO.
Deloitte wollte wissen, welche Aufgaben ein CISO in der Finanzbranche ausfüllt. Demnach werden ihm vor allem Strategie und Planung (94 Prozent der Nennungen) sowie Governance und Implementierung/Integration (jeweils über 80 Prozent der Nennungen) zugeschrieben. Geht es dagegen um das Zusammenspiel von Informations- und physischer Sicherheit, sieht nur noch rund jeder Vierte den CISO in der Pflicht.
In einem Punkt ist den Analysten ein klarer Widerspruch aufgefallen: Obwohl diese Zuständigkeiten in 81 Prozent der Unternehmen klar verteilt sind, gibt nur jedes zweite Unternehmen an, die Wirksamkeit dieser Vorgehensweise im Rahmen von Mitarbeiterbeurteilungen zu messen.
Ein Manager für den Datenschutz
Ein weiteres Ergebnis der Studie: Datenschutz und die Abwehr von Datenmissbrauch sind zu einem festen Bestandteil des Sicherheits-Managements geworden. Zwei Drittel der Unternehmen haben einen verantwortlichen Manager für den Datenschutz benannt.
Allerdings scheint jede Sorgfalt an der Ausgangstür des eigenen Hauses stehen zu bleiben. Immer noch verzichten 29 Prozent der Unternehmen darauf, informationssicherheitstechnische Fragen vertraglich festzulegen. Knapp jeder zweite Entscheider (47 Prozent) hat keine Kontrolle über den Zugang seines Dienstleisters zu den eigenen Daten und Systemen.
Vor dem Hintergrund wachsender Outsourcing-Aktivitäten von Banken, Versicherungen und Finanzdienstleistern sei das "beachtlich", so die Autoren der Studie.
In einer Gesamtbetrachtung zieht Sven Hesselbach, Partner im Bereich ERS von Deloitte, denn auch trotz aller Aktivitäten der Branche keine befriedigende Bilanz: "Trotz eines vorhandenen Bewusstseins auf der Management-Ebene und einer Vielzahl von Einzelmaßnahmen fehlt es an operativer Übernahme der Verantwortung. Zu viele Geschäftsbereichsleiter halten die Informationssicherheit immer noch für eine Angelegenheit der IT-Abteilung und sehen sich nicht selbst in der Pflicht."
Deloitte hat für die "2007 Global Security Survey" mit Entscheidern aus 169 weltweit tätigen Unternehmen gesprochen.