Neulich rief bei Gartner-Analyst Jay Heiser eine Dame an, die die IT-Security einer Bank verantwortet. "Wie viel Prozent des IT-Budgets gibt eine Bank durchschnittlich für Sicherheit aus?" wollte sie wissen. Wozu sie das brauche, fragte er zurück. "Ich muss den Kauf von Security-Lösungen rechtfertigen", erklärte sie. Jay Heiser winkt ab, als er das erzählt. "So wird das nie was mit der IT-Sicherheit", sagt der Analyst düster.
Die spektakulären Zeitungsmeldungen über den jüngsten Datenklau-Skandal beim Karriere-Portal Monster könnten immerhin Bewusstsein für die Risiken schaffen, so Heiser. Grundsätzlich sei IT-Security aber weniger CIO-Sache, als viel mehr ein Thema für Vorstand und Linien-Manager. "Wenn die keine IT-Sicherheit vorleben, hat der CIO oder CISO wenig Möglichkeiten", so der Gartner-Analyst.
Konsequenz: Awareness-Programme in Unternehmen sind zu wenig. Es kann nicht nur darum gehen, Bewusstsein zu schaffen. Das ist zwar der erste Schritt, aber im zweiten Schritt muss ein Unternehmen den Mitarbeitern auf allen Ebenen klare Verhaltensregeln an die Hand geben. Und im dritten Schritt das Know-how und die Fähigkeit, diese Regeln täglich in die Praxis umzusetzen. Heiser fordert einen firmenkulturellen Change.
Immerhin gesteht er Führungskräften Lernfähigkeit zu. Wer diese als CIO in seinem Unternehmen schon nutzen kann und in Sachen Sicherheit mit aufgeklärten CEOs zu tun, sollte das Standardwerk ITIL V3 implementieren, rät der Gartner-Analyst.
Gartner hatte schon im April vorigen Jahres in einer ersten Einschätzung der neuen Version der IT Infrastructure Library gelobt, dass Governance, Sicherheit und Compliance nun erstmals Schlüsselrollen spielen. Das hängt mit einer grundsätzlichen Neuerung zusammen: ITIL V3 verfolgt einen Lifecycle-Ansatz, um die Segmentierung in verschiedene IT-Bereiche und die Kluft zwischen IT und Betriebswirtschaft zu überwinden.
Damit sollte die Sicht auf IT-Security als reinen Kostenfaktor überwindbar sein. "Unternehmen, die die neue Library einführen, werden ihre Sicherheitsprogramme fundamental ändern", glaubt Jay Heiser. Allerdings erwarten seine Kollegen und er Umwälzungen erst zwischen 2009 und 2012.
Die unbekannten Gefahren von Cloud Computing
Gleichzeitig taucht schon das nächste Risiko am Horizont auf: Cloud Computing. "Wir wissen noch nicht einmal, was genau das ist und wie es funktionieren soll", sagt Jay Heiser. Von einem Verständnis der damit verbundenen Risiken ganz zu schweigen. Der Analyst möchte sich nicht als Gegner von Cloud Computing verstanden wissen. Er plädiert aber für mehr Nüchternheit und weniger Hype.
Ein anderes aktuelles Risiko resultiert aus der aktuellen Wirtschaftslage. Zwar dürfen Cyber-Kriminelle nicht unterschätzt werden, aber die eigenen Mitarbeiter stellen für ein Unternehmen die größere Gefahr dar, so Heiser. Die Angst vor Job-Verlust oder das Gefühl, ungerecht behandelt zu werden, lasse Manchen zu illegalen Mitteln greifen.
Umso wichtiger, dass sich die Führungsriege compliant verhält. Jay Heiser grinst. "Es wird keiner ins Gefängnis gehen, weil aus seiner Firma Daten geklaut wurden", sagt er. "Also muss man die Manager bei ihrer persönlichen Verantwortung packen."