Es ist paradox: Entscheider haben Angst vor Sicherheitslücken von Web 2.0-Technologien. Außerdem fühlen sie sich Compliance-Vorgaben nicht gewachsen. Trotzdem sparen sie bei der Security. So lautet das Fazit der Studie "Losing ground - 2009 TMT global security survey". Für diese hat der Berater Deloitte weltweit 200 Unternehmen aus den Sparten Technologie, Medien und Telekommunikation zu ihrer Sicherheit befragt.
Die Analysten bringen den Griff nach dem Rotstift mit der Wirtschaftskrise in Verbindung. Laut ihren Daten sinken die Gesamtinvestitionen in Sicherheit parallel zum Wirtschaftsabschwung. Fast jedes dritte Unternehmen (32 Prozent) hat in den vergangenen zwölf Monaten das Budget verringert.
Dabei fasst die Studie physische und digitale Sicherheit zusammen. Das hat seinen Grund: Deloitte hält die Trennung der Bereiche für überholt. Schließlich basierten Vermögenswerte immer stärker auf Informationen und seien somit virtuell, schreiben die Autoren. Eine ihrer Fragen bezog sich daher auf den Stand der Konvergenz dieser Bereiche. Ergebnis: Vier von zehn Entscheidern unternehmen bisher wenig oder nichts für die Integration physischer und logischer Sicherheit.
Was allein die IT-Sicherheit betrifft, stehen die Dinge jetzt schlechter als in einer vergleichbaren Umfrage aus dem Vorjahr. 27 Prozent der Befragten geben an, das bereitgestellte Budget falle hinter die Anforderungen zurück. 2008 sagten das nur 15 Prozent.
Umgekehrt erklärten in der Vorjahresumfrage 45 Prozent der Teilnehmer, ihr IT-Sicherheitsetat liege im Plan. Dieser Aussage stimmen jetzt nur 29 Prozent zu.
Ein Blick auf die gesamten IT-Budgets zeigt, dass üblicherweise ein bis drei Prozent in die IT-Sicherheit fließen. Das geben jedenfalls 26 Prozent der Befragten an. Bei weiteren elf Prozent sind es vier bis sechs Prozent. Allerdings: Eine relative Mehrheit von 28 Prozent der Studienteilnehmer macht zu dieser Frage keine Angaben beziehungsweise kreuzt "Weiß nicht" an. Ein Phänomen, das die Autoren der Studie weder erklären noch kommentieren.
Ein weiteres Ergebnis: Mehr als vier von fünf Befragten (83 Prozent) halten Sicherheitslücken in Web 2.0-Technologien wie Blogs und Twitter für eine besondere Gefahr. Hintergrund ist die Angst vor dem Diebstahl von Informationen und geistigem Eigentum.
Die Bedrohung kommt von intern
Insgesamt wächst in den Unternehmen das Gefühl, stärker von intern bedroht zu sein als von extern. Auf die Frage, ob sie auf ihre Abwehrmechanismen gegen interne Attacken vertrauen, geben 52 Prozent ein vages "einigermaßen" zu Protokoll. Immerhin: Fast ein Viertel (24 Prozent) bezeichnet sich als "sehr vertrauensvoll". Zwei Drittel der Unternehmen haben ihr Personal in den vergangenen zwölf Monaten in IT-Sicherheitsfragen geschult.
Geht es jedoch um die Outsourcing-Partner, sind die Befragten weit weniger aktiv. Nur jeder fünfte überprüft die Sicherheit des Dienstleisters.
Gesetzliche Regelungen und Vorgaben
Ein großes Thema ist der Bereich gesetzlicher Regelungen und Vorgaben. Hier scheint Verdrossenheit zu herrschen: Mehr als zwei von drei Befragten (67 Prozent) halten diese Vorschriften bestenfalls für "einigermaßen effektiv". Hinzu kommt, dass 57 Prozent - zumindest aus ihrer Sicht - zu wenig Geld und zu wenig Unterstützung von der Geschäftsleitung erhalten, um compliant zu arbeiten.
Deloitte hat für die Studie "Losing Ground - 2009 TMT global security survey" Entscheider aus 200 Technologie-, Medien- und Telekommunikationsunternehmen befragt.