Laut den Autoren der Studie reagieren viele Unternehmen auf Sicherheitsrisiken rund um ihre Technik mit dem Installieren von noch mehr Technologie. Nicht unbedingt ein vielversprechender Weg: Die höchste Gefahr geht nach den eigenen Aussagen der Befragten von den Mitarbeitern aus. Knapp achtzig Prozent der Studienteilnehmer nannten Inkompetenz oder auch schlechte Stimmung ihrer Mitarbeiter als Hauptursache von IT-Risiken.
Diese Gefahr dürfte nach Einschätzung der Befragten in Zukunft noch steigen. Überholt werden unzuverlässige Mitarbeiter künftig nur von Hackern oder Angriffen durch Spyware.
Zugleich halten die Studienteilnehmer die neuen Kommunikationskanäle für unverzichtbar. Drei von vier CIOs geben an, dass die höhere Flexibilität der Mitarbeiter durch mobile Endgeräte und andere Technologien die Produktivität ihres Unternehmens spürbar steigert.
Firmenleitungen als schlechte Vorbilder
Dabei bringen die CIOs der Belegschaft noch weniger Vertrauen entgegen als das Gros der Führungskräfte: Rund 65 Prozent der Manager denken, dass Mitarbeiter, die mobile Endgeräte nutzen, verantwortungsvoll damit umgehen. Unter den CIOs ist es mit 47 Prozent noch nicht einmal jeder Zweite.
Die Autoren der Studie merken allerdings an, dass viele Firmenleitungen selbst kein gutes Beispiel abgeben: In 15 Prozent der Unternehmen existiert keine Security Policy. Unter den anderen Teilnehmern gibt jeder Vierte zu, die bestehende Policy werde nicht mit Nachdruck umgesetzt.
Die Analysten haben sich angesehen, mit welchen Mitteln Sicherheitsrichtlinien in der Praxis verwirklicht werden sollen. Am häufigsten kommunizieren Firmen entsprechende Anweisungen über ihr Intranet (45 Prozent). 42 Prozent beziehen Risikofragen mit ein, wenn sie neue Technologien einführen. Nur etwa jedes dritte Unternehmen schickt Mitarbeiter, denen mobile Endgeräte anvertraut werden, in spezielle Trainings. 32 Prozent der Befragten erklärten, die Angestellten würden Sicherheitsrichtlinien befolgen, weil ihr Vorgesetzter es ihnen sagt.
Ein weiteres Ergebnis der Studie: 44 Prozent der Befragten konnten nicht angeben, ob der IT-Verantwortliche in ihrem Haus seine eigenen Handhelds mit PIN-Nummern schützt. Sie wussten es nicht. 14 Prozent verneinten die Frage, 42 Prozent antworteten mit "ja".
Bei der Sicherheit ist keine Ausnahme erlaubt
Die Autoren der Studie deuten die Aussagen dahingehend, dass sich CIOs und die anderen Führungskräfte über die Diskrepanzen in der Wahrnehmung der IT-Sicherheit auseinandersetzen müssen. Sie geben zu Bedenken, dass fachfremde Manager dazu neigen, das Gefahrenpotenzial durch die Mitarbeiter zu unterschätzen.
Sie betonen die Notwendigkeit einer unternehmensweiten Sicherheits-Strategie und deren Umsetzung auch und gerade durch die Führungsriege. Dazu Analyst Rob Bamforth: "Es darf bei den Sicherheitsregeln keine Ausnahmen geben, auch nicht bei erfahrenen Fachleuten."
Quocirca hat für die Untersuchung, die in Zusammenarbeit mit der Firma Orange Business Solutions entstanden ist, mit 2.035 IT-Verantwortlichen und anderen Führungskräften in Unternehmen aus verschiedenen Branchen gesprochen.