81 Prozent der Befragten erklären denn auch, Security Policies seien in ihrem Unternehmen Sache des leitenden Managements. 14 Prozent geben an, dafür sei in ihrer Firma das mittlere Management zuständig. 62,5 Prozent der Unternehmen haben bereits einen Chief Security Officer eingesetzt.

Dennoch scheint ein Unterschied zwischen Theorie und Praxis zu bestehen: 69 Prozent der Befragten erklären, ihr Top-Management gebe IT-Sicherheitsfragen Priorität. Allerdings beobachten nur 51 Prozent der Studienteilnehmer, dass die Führungskräfte den Punkt Sicherheit in strategische Planungen miteinbeziehen. Jeder vierte Befragte bemängelt, dass die Führungsriege den Mitarbeitern des Hauses nicht genügend vorlebe, wie wichtig die IT-Sicherheit ist. Dass das Thema IT-Security intern ausreichend kommuniziert wird und die Belegschaft dessen Bedeutung richtig einzuschätzen weiß, denkt mit 47 Prozent nur knapp jeder Zweite.

Immerhin 14 Prozent sprechen der Sicherheitsabteilung ihres Hauses die fachliche Kompetenz ab.

Fazit der Befragung: Die besten Programme nützen einem Unternehmen nichts ohne übergreifende IT-Security-Policies, die vom Management engagiert nach innen vertreten werden.

IT-Sicherheit: Noch Mitte der neunziger Jahre kein Thema

In der Konsequenz halten die Analysten vier Punkte für ausschlaggebend: Die Implementierung wirkungsvoller Schulungsprogramme für User, das Schaffen einer sicherheitsorientierten Unternehmenskultur, das Formulieren von Sicherheitrichtlinien, die regelmäßig zu aktualisieren sind, und eine angemessene Durchsetzung dieser Richtlinien.