Wie viel IT-Sicherheit braucht ein Unternehmen?

Die Erkenntnis, dass IT-Sicherheitskonzepte nicht für den Aktenschrank produziert werden, sondern im Unternehmen gelebt werden müssen, scheint sich Bahn zu brechen. Immerhin bei mehr als der Hälfte der befragten Unternehmen (51 Prozent) sind die Sicherheitsrichtlinien allen Mitarbeitern vertraut, wohingegen 22 Prozent dies offen verneinen. 27 Prozent der Umfrageteilnehmer verzichteten auf eine Angabe, wobei mit hoher Wahrscheinlichkeit der Verzicht auf eine Antwort als Eingeständnis eines Defizits zu werten ist. (Siehe Abb. 4)

Bei der Frage, wie die Mitarbeiter über Sicherheitsrichtlinien informiert werden, kommen verschiedene Methoden zum Einsatz. Die Arbeitsanweisung als situative, aktionsbezogene und unstrukturierte Form der Informationsvermittlung belegt mit 41,5 Prozent den ersten Platz. 32,1 Prozent der Unternehmen verfügen über einsehbare, schriftlich niedergelegte Sicherheitsrichtlinien und 34,2 Prozent überreichen diese ihren Mitarbeitern bei der Einstellung. Ein Handbuch besitzt eine Minderheit von 14,2 Prozent der befragten Unternehmen. Trotz wirtschaftlich schwieriger Lage erkennen 31,7 Prozent der Unternehmen die Notwendigkeit von Schulungsmaßnahmen im Bereich IT-Security an. Angesichts knapper Budgets ist anzunehmen, dass es sich häufig um punktuelle Maßnahmen für Key User bzw. um technische Produktschulungen handelt. In diesem Zusammenhang ist das Modell "Teach the Teacher" von Bedeutung. 15,8 Prozent gehen bei der Schulung ihrer Mitarbeiter nach dem "Schneeballprinzip" vor und betreiben Wissensvermittlung über Abteilungsleitung und Key User.

Signifikante Unterschiede zeigen sich bei einer branchenbezogenen Auswertung der Fragen zur Sicherheitspolitik. Die Frage nach dem Vorhandensein von IT-Sicherheitsrichtlinien beantworteten 94 Prozent der Befragten aus dem Bereich FinanzenFinanzen/Versicherungswesen und 88 Prozent der Wasser- und Energieversorger mit Ja, wohingegen die Quote im Baugewerbe bei nur 57 Prozent liegt (siehe Abb. 5). Top-Firmen der Branche Finanzen

Die Frage, in welcher Form Sicherheitsrichtlinien vorliegen, variiert ebenfalls stark in Abhängigkeit von der betreffenden Branche. Im Hinblick auf schriftlich fixierte Sicherheitsrichtlinien liegen Verbände/öffentlicher Sektor mit 45 Prozent an der Spitze, gefolgt von Wasser- und Energieversorgern (42 Prozent) sowie dem Baugewerbe (40 Prozent). Notfallpläne existieren bei 35 Prozent der befragten Wasser- und Energieversorger und 34 Prozent der VersicherungenVersicherungen und Finanzdienstleister. Über Business Continuity Konzepte verfügen 17 Prozent im Finanz- und Versicherungswesen. Werte, die im allgemeinen, aber insbesondere bei kritischen Infrastrukturen als deutlich zu niedrig anzusehen sind. (Siehe Abb. 6) Top-Firmen der Branche Versicherungen

Sicherheitsrichtlinien veralten ebenso schnell wie die IT-Infrastruktur, die sie schützen sollen. Eine regelmäßige und bedarfsorientierte Überprüfung und Aktualisierung ist daher zwingend notwendig. Die große Mehrheit der Unternehmen beschränkt sich jedoch auf eine unregelmäßige Überprüfung ihrer Sicherheitspolitik (52 Prozent). Immerhin 4,1 Prozent der Unternehmen gehen sogar das Wagnis ein, auf eine Überprüfung und Aktualisierung gänzlich zu verzichten. 13,5 Prozent sehen eine halbjährliche Überprüfung vor. 7,5 Prozent der Unternehmen aktualisieren ihre Policy quartalsweise.