Die E-Mail-gestützte Untersuchung , an der sich im zweiten Quartal dieses Jahres 7596 IT-Entscheider, Sicherheitsverantwortliche und Unternehmensführer beteiligten, stellt den für IT-Sicherheit Verantwortlichen in den Unternehmen weltweit nach wie vor kein gutes Zeugnis aus. "Blocking and tackling", also jeden Angriff aus dem Netz, jedes offenkundige Loch im internen Netz blockieren und einzeln in Angriff nehmen, lautet die Devise.
Besser wäre es jedoch, Standards für die Überwachung zu etablieren und sie - durchaus nicht selbstverständliche - auch durchzusetzen. Nachhaltiger in seiner Wirkung wäre es, das Vorgehen gegen reale und vermutete Risiken in einer umfassenden Policy festzulegen; eben dieser Policy sollten die finanziellen Risiken, also die Werte unternehmenskritischer Daten und Anwendungen, zu Grunde gelegt werden.
Tatsächlich folgen dieser anspruchsvollen Empfehlung jedoch nur knapp ein Drittel der Unternehmen weltweit; jedes zehnte verzichtet gar ganz auf eine Security Policy. Und während CIOs ansonsten großen Wert darauf legen, die Effektivität der Prozesse in ihrem Verantwortungsbereich zu überprüfen und zu messen, sind es nur 37 Prozent, die sich dem Thema Security quantitativ nähern. Das Motto "Verbessern kann man nur das, was messbar ist", gilt hier also offenbar noch nicht.
An finanziellen Aufwendungen für IT-Sicherheit mangelt es dagegen offenbar insgesamt nicht, glaubt man den Befragten. Im Durchschnitt geben sie nämlich 11 Prozent ihres IT-Budgets für die Risikoabwehr aus. Bei den 671 Befragten aus Deutschland lag dieser Wert übrigens bei 10,2 Prozent und damit um ein Prozent höher als in den USA.
Diese Abweichung der Deutschen vom Durchschnitt ist noch im Rahmen - im Gegensatz zur Anzahl der Vorfälle pro Jahr und Unternehmen: Durchschnittlich 47 sicherheitsrelevante Ereignisse, vom Datendiebstahl über den Hackerangriff bis zum Virenbefall, meldeten die deutschen Umfrageteilnehmer. Weltweit gaben nur 17 Prozent mehr als zehn Vorfälle während der 12 Monate vor der Befragung an.
Entweder darf man daraus schließen, dass in Deutschland das Denial-of-Service- und sonstige Unwesen weiter verbreitet ist als in anderen Ländern der Erde. Das ist jedoch unwahrscheinlich; daher darf man vermuten, dass deutsche IT-Manager ängstlicher - oder sicherheitsbewusster - sind, weshalb sie Security-Vorfälle mit empfindlicheren Antennen registrieren als der Rest der Welt.
Das wäre keine schlechte Nachricht, auch nicht für den Wirtschaftsstandort Deutschland. Denn die Zahl und potenzielle Gefährlichkeit der unerwünschten IT-Vorfälle, das darf man sicher annehmen, steigt weiter an.