Der Security-Manager sollte sich darum nicht scheuen, Werbung in eigener Sache zu machen und seine Erfolge zu kommunizieren. Das erhöht die Akzeptanz und belegt, dass sich Security-Investitionen lohnen. "Wir haben diesen Monat 16 Viren verzeichnet, konnten 15 ohne Schaden abfangen; ein Server musste für 16 Stunden vom Netz. Es gab 24 versuchte Übergriffe, die aber erfolglos blieben." Mit regelmäßigen Bilanzen dieser Art könne der Sicherheitsverantwortliche belegen, dass der reibungslose IT-Betrieb nicht zuletzt von einer wirksamen Sicherheitsinfrastruktur abhängt, sagt Casper.

100-prozentige Sicherheit gibt es nicht

Als Nebenprodukt liefert ein funktionierendes Sicherheitsmanagement Basisdaten für künftige Investitionen. "100 Prozent Sicherheit gibt es nicht - aber die Frage nach dem RoI, also die Frage, wie viel Sicherheit zu welchem Preis zu haben ist, lässt sich nach der Einrichtung einer Security Policy viel leichter beantworten", sagt Casper.

Die technischen Mittel, sämtlichen Sicherheitsrisiken entgegenzuwirken, sind vorhanden. CA-Mann Stephan schätzt den Markt für Sicherheitslösungen auf 400 bis 500 Anbieter, von denen allerdings die wenigsten die gesamte Produktpalette abdecken. Zudem fängt bei der Sicherheitsplanung keiner bei null an; die Hard- und Software-Infrastruktur ist fast immer gewachsen. "Fast alle Security-Anwendungen verfügen über Schnittstellen, sodass auch vorhandene Systeme in eine neu konzipierte Sicherheitslösung zu integrieren sind", so Stephan.

Falsche Sparsamkeit gehört in Sachen Security zu den häufigsten Fehlern: "Nach dem 11. September sah es teilweise so aus, als würden die Verantwortlichen in den Unternehmen aufwachen und mehr für die IT-Sicherheit tun", hat Wissenschaftler Meinel beobachtet. "Aber mittlerweile ist das Bewusstsein für die Bedeutung des Themas wieder zurückgegangen." Glaubt man Markt-forschern, wird sich das zumindest in den finanziellen Aufwendungen nicht niederschlagen - im Gegenteil. Nach der Meta-Group-Studie "E-Security" soll der Umsatz mit Enterprise Security (Hardware, Software, Services) von 1,3 Milliarden Euro im Jahr 2000 bis 2004 auf knapp 3 Milliarden ansteigen. Überproportional wächst dabei der Anteil an Investitionen für Sicherheitsmaßnahmen in Zusammenhang mit E-Business (E-Security): Er wird sich in der genannten Zeit von 204 Millionen Euro mit einer durchschnittlichen jährlichen Wachstumsrate von 42 Prozent auf 831 Millionen mehr als vervierfachen.

Die Investitionen für Services liegen dabei mit einem jährlichen Wachstum von 50 Prozent deutlich über denen für Hard- und Software. Das gibt zumindest Anlass zu der Hoffnung, dass sich ein Umdenken anbahnt und die Tendenz von der rein technischen in Richtung einer strategischen Sicherheitsplanung weist.

Weiterführende Informationen: Mit dem Auszug aus der Meta Group Studie "Security im E-Business-Zeitalter" (2001) steht eine Kurzbeschreibung der Anbieter von Security-Lösungen zur Verfügung. Eine grafische Übersicht verdeutlicht die Positionierung der Anbieter.