Foto: ISACA
Endnutzer, die ihre eigenen Geräte mitbringen, und Cloud Computing - das sind in Sachen IT-Sicherheit die Hauptpunkte, die Entscheider umtreiben. Das berichtet die Organisation ISACA (Information Systems Audit and Control Association) in ihrem "IT Risk/Reward Barometer 2011". ISACA ist nach eigener Darstellung mit mehr als 95.000 Know-How-Trägern in über 160 Ländern der weltweit größte Interessensverband und der weltweit führende Anbieter von Weiterbildungen und Zertifizierungen in den Bereichen Ordnungsmäßigkeit und Sicherheit von IT-Systemen, IT-Governance sowie IT-Risiko und Compliance-Management.
Punkt Eins kürzt ISACA mit BYOD ab, das steht für "Bring your own device". 58 Prozent der weltweit befragten 2.765 CIOs erklären, jedes von Beschäftigten selbst mitgebrachte Gerät stelle eine Gefahr für die Unternehmenssicherheit dar. Jeder Dritte (33 Prozent) nennt dagegen explizit eines der folgenden Geräte: Smartphones, Laptop/Netbooks, Tablets, Breitband-Karten oder Flash-Treiber. Eine Minderheit von sechs Prozent ist der Meinung, kein selbst mitgebrachtes Gerät berge Sicherheitsrisiken.
Ein Blick auf Europa zeigt eine Abweichung von diesem weltweiten Durchschnittswert. 45 Prozent der europäischen Befragten erklären jedes Gerät zur Gefahr. Ihnen stehen 46 Prozent gegenüber, die das differenzierter sehen. Hierbei gelten insbesondere Laptops/Netbooks mit 18 Prozent der Nennungen und Flash-Laufwerke mit dreizehn Prozent als problematisch.
Stichwort Cloud Computing: Hier sind sich Europäer und Nord-Amerikaner weitgehend einig. Für 43 Prozent der Europäer und 42 Prozent der Amerikaner wiegen die Gefahren des Cloud Computing schwerer als dessen Nutzen. Jeweils 20 Prozent sehen es umgekehrt. Anders die Asiaten: 37 Prozent halten die Risiken für größer als den Nutzen, 24 Prozent widersprechen - aber eine relative Mehrheit von 39 Prozent vertritt die Auffassung, dass sich Gefahr und Nutzen ausbalancieren.
Die Forscher von ISACA wollten wissen, was die Unternehmen zu Cloud Computing planen. Mehr als jeder dritte der asiatischen Entscheider (36 Prozent) nutzt die Cloud derzeit noch überhaupt nicht. Unter den Europäern sind es 30 Prozent. Das sind jeweils die Antworten mit den - relativ gesehen - häufigsten Nennungen.
Bei den Nord-Amerikanern dagegen halten sich zwei Antwortmöglichkeiten die Waage. Jeweils 24 Prozent geben an, bisher gar nichts aus der Cloud zu beziehen oder in begrenztem Maße nicht-kritische IT-Services.
Keine Ahnung von Cloud-Plänen
Jeweils rund jeder Fünfte (Europa: 20 Prozent, Nord-Amerika: 19 Prozent, Asien: 18 Prozent) gibt an, die Planungen bezüglich Cloud Computing seien derzeit noch nicht abgeschlossen. Immerhin erklären aber auch 18 Prozent der Europäer und 21 Prozent der Nord-Amerikaner, über solche Pläne "keine Details" zu kennen. Unter den Asiaten sind es 15 Prozent.
Ein weiteres Ergebnis der Studie: Rund jeder zweite europäische IT-Chef (49 Prozent) hält das Management von IT-Risiken in seinem Betrieb für "einigermaßen" effektiv in ein übergeordnetes Risk-Management eingebaut (Nord-Amerika: 59 Prozent, Asien: 54 Prozent). Jeder Vierte (25 Prozent) hält sein Unternehmen in diesem Punkt für "sehr effektiv" (Nord-Amerika: 22 Prozent, Asien: 26 Prozent).
Ihnen stehen allerdings 19 Prozent gegenüber, die die Integration von IT-Risk-Management für nicht effektiv halten. In Nord-Amerika und Asien sind es jeweils 14 Prozent.
Effektives IT-Risiko-Management scheint am Geld zu scheitern. Jedenfalls nennen 32 Prozent der europäischen Befragten (Nord-Amerika: 35 Prozent, Asien: 27 Prozent) knappe Budgets als größtes Problem.
Fehlendes Sicherheitsbewusstsein der End-User
Der monetäre Aspekt alleine ist es aber nicht. 30 Prozent der Europäer (Nord-Amerika: 32 Prozent, Asien: 31 Prozent) halten es für nötig, IT-Risk-Management und allgemeines Risiko-Management besser zu koordinieren. 29 Prozent (Nord-Amerika: ebenfalls 29 Prozent, Asien: 37 Prozent) sehen außerdem Defizite im Sicherheitsbewusstsein der End-Nutzer.
Die Ergebnisse des "2011 IT Risk/Reward Barometer" hat die ISACA zum Herunterladen bereitgestellt.