Obgleich sich die Unternehmensführung der Problematik bewusst ist, geschieht in den meisten Unternehmen kaum etwas, den Missstand zu beseitigen. Es werden kaum Trainingsmaßnahmen des Personals zur Steigerung der Informationssicherheit angeboten.
Die Bedrohung der Sicherheit wächst durch zunehmende Dezentralisierung wie Outsourcing und externe Partnerschaften. Es fällt schwerer, die Kontrolle über die sich verbreitenden Informationen zu wahren. "Die Unternehmen können zwar Prozesse und Aufgaben outsourcen, nicht jedoch die Verantwortung für die Sicherheit", so die Studienautoren.
Weniger als ein Drittel aller Unternehmen führt regelmäßige Einschätzungen ihrer IT-Provider durch, um deren Befolgung von Sicherheitsrichtlinien zu überprüfen. Sie schenken ihnen mehr oder weniger blindes Vertrauen. Doch Firmen und Institute müssen in punkto Sicherheit einen höheren Maßstab an ihre Geschäftpartnern anlegen, sagen die Analysten.
Die Studie fördert zutage, dass Organisationen hauptsächlich externe Bedrohungen wie Viren im Visier haben. Interne Gefahren werden dagegen hartnäckig unterschätzt. Technologien wie Firewalls und Virenabwehr vertrauen sich Unternehmen daher schnell an. Beim Faktor Mensch hingegen schludern sie.
Weil viele sicherheitsrelevante Vorfälle im Verborgenen geschehen, sehen sich die Betroffenen nicht in der Opferrolle. So lange es keine sichtbare Attacke gibt, wiegen sich die Organisationen in Sicherheit. Diese Einstellung hat sich seit einer Dekade nicht verändert.
Unternehmen sollten aber eine Kultur schaffen, die das interne Sicherheitsbewusstsein fördert. Dazu gehört nach Auffassung von Ernst & Young eine Änderung der Sichtweise: Sicherheitsbelange sind demnach nicht länger als notwendiges Übel und bloßer Kostenfaktor aufzufassen. Viel mehr sind sie ein Weg, die eigene Wettbewerbsfähigkeit und den Nutzen der Aktieneigner zu steigern
Dieser Schritt muss von der gesamten Führungsetage vollzogen und als sichtbare Änderung im Verhalten und in der Einstellung zutage treten. Gegenwärtig hat in nur 20 Prozent der Organisationen die Informationssicherheit auf dem CEO-Level Priorität. Bewusstsein und Fähigkeiten der Mitarbeiter sollten geschult werden. So lässt sich die derzeit größte Schwachstelle eines Unternehmens in einen Sicherheitspanzer umwandeln.
Weitere Meldungen:
Immer weniger Zeit zum Patchen von Sicherheitslücken
Unternehmen mit immer mehr Sicherheitslücken
Sicherheits-Anwendungen boomen weiter
Bücher zum Thema:
IT-Sicherheit mit System
Grundlagen für den Informatikeinsatz