Wie viel IT-Sicherheit braucht ein Unternehmen?

Ein stringentes Sicherheitsmanagement hängt in entscheidendem Maße von den Entscheidungsstrukturen im Unternehmen ab. Wer trifft in Unternehmen und Institutionen Investionsentscheidungen zu IT-Sicherheit? Inwieweit ist IT-Sicherheit Chefsache? Mehrheitlich liegt die Entscheidung beim IT-Leiter/IT-Management (46,2 Prozent). Nur bei 37,9 Prozent der Befragten ist die Investitionsentscheidung auf der Ebene der Geschäftsführung bzw. des Vorstandes angesiedelt. Der Fachabteilungsleiter entscheidet in 2,4 Prozent der Unternehmen. Externen Beratern wird nur bei 0,6 Prozent der befragten Unternehmen Entscheidungsbefugnis eingeräumt.

Das Ergebnis ist ein klares Indiz dafür, dass die strategische Bedeutung von IT-Sicherheit für die Unternehmensentwicklung häufig nicht erkannt wird. Die fehlende Rückendeckung durch das Top-Management erweist sich als eine der Hauptursachen für die unzureichende Umsetzung adäquater Sicherheitsstrategien.

Wie sieht der Branchenvergleich aus? Mit Ausnahme von BankenBanken/Versicherungen sowie des Baugewerbes, entscheidet auch in der Mehrheit der Branchensegmente das IT-Management über Investitionen in die IT-Sicherheit. Die Sonderstellung der Finanz- und Versicherungsunternehmen liegt sicherlich im erhöhten Schutzbedürfnis begründet; 48 Prozent betrachten IT-Sicherheit als Chefsache. Die IT-Infrastruktur bildet einen geschäftskritischen Faktor, der auch bei minimalen Störfällen eine existentielle Bedrohung darstellt. Im Baugewerbe dagegen ist zu vermuten, dass IT-Sicherheit nicht aufgrund ihrer strategischen Bedeutung zur Chefsache wird (59 Prozent), sondern Investitionsentscheidungen allgemein von der Geschäftsführung bzw. dem Vorstand getroffen werden. (Siehe Abb. 7) Top-Firmen der Branche Banken

Im Segment Fertigung/IndustrieIndustrie liegt der Prozentsatz der Unternehmen, die Security-Investionen der Geschäftsführung bzw. dem Vorstand zuordnen, mit 40 Prozent über dem Durchschnitt. Die weltweite Vernetzung, die elektronische Abbildung aller Geschäftsprozesse sowie die Einbindung von Zulieferern und Partnern machen die IT-Infrastrukturen zum zentralen Nervensystem des Unternehmens, das keinerlei Toleranz für Ausfälle erlaubt. (Siehe Abb. 7) Top-Firmen der Branche Industrie

Hemmnisse und Motivation für IT-Sicherheit

Was sehen Entscheider als Hemmschuh bei der Realisierung von IT-Sicherheitsmaßnahmen und was treibt sie in puncto IT-Sicherheit voran? In Zeiten stagnierender oder sinkender Budgets rückt IT-Sicherheit häufig in den Hintergrund. Zu knappe Budgets werden folgerichtig auch bei der Mehrzahl der Entscheider (59 Prozent) für unzureichende IT-Sicherheit verantwortlich gemacht. Von 48 Prozent der Befragten werden intransparente Kosten-Nutzen-Relationen als Hindernis angeführt. Doch auch die Technik selbst steht im Kreuzfeuer der Kritik. Die Komplexität der zur Verfügung stehenden Security-Lösungen und implizit die damit verbundenen Anforderungen an internes Know-how erweisen sich bei 38 Prozent der Unternehmen als Hemmschuh. 37 Prozent der Entscheider beklagen sich über das Vorhandensein von "Insellösungen", die einer integrierten Sicherheitsarchitektur widersprechen. Fehlende Entscheidungshilfen blockieren laut 29 Prozent der Befragten Investionsentscheidungen. Die mangelnde Berücksichtigung branchenspezifischer Anforderungen bei Security-Lösungen wird von 21 Prozent kritisiert. (Siehe Abb. 8)

Mit Ausnahme der ungünstigen wirtschaftlichen Rahmenbedingungen, zeigt sich hier erheblicher Handlungsbedarf, während sich gleichzeitig Marktchancen für Security-Anbieter eröffnen. Eine stärkere Integration von Sicherheitslösungen, Verbesserungen im Bereich der Usability und die Einbeziehung branchenspezifischer Anforderungen sind zentrale Faktoren, um Investitionshemmnisse zu beseitigen. Praxisorientierte Entscheidungshilfen und eine klare Kommunikation der Kosten und Nutzen von IT-Sicherheitsmaßnahmen bauen Barrieren ab.