IT-Sicherheit: Auf Wiedervorlage … bis es kracht

Management

Gefordert sind kleine, schlagkräftige Security-Teams

Die IT-Sicherheit im Unternehmen – das war auch 2002 ein Thema, das an Bedeutung erneut gewonnen hat. Und das, obwohl Verbände, Hersteller und Politik schon seit Jahren hier für mehr Aufmerksamkeit werben.Im Rahmen der Initiative Trust-Day hat der Berliner Dienstleister Timekontor rund 2100 Entscheider im IT-Bereich zu Sicherheitsverständnis und -praxis befragt, um die Hintergründe auszuleuchten. Besonders stark vertreten waren dabei Verantwortliche aus Industrie und Fertigung, aus dem Handel und dem Dienstleistungsgewerbe. Aber auch die Bereiche Bau und Finanzen/Versicherungen sowie Verbände/Öffentlicher Sektor waren vertreten.

Ödnis in der Chefetage – noch

Wichtigste Erkenntnis: Die IT-Sicherheit ist noch immer nicht selbstverständlich in der Chefetage. Obwohl im vergangenen Jahr nach Schätzungen jedes zweite Unternehmen in Deutschland einen Sicherheitsvorfall in seiner IT erlitten hat, lässt sich ein wirklicher Sinneswandel nicht feststellen.

Hochinteressant ist allerdings schon einmal die Frage: “Was motiviert Sie im Bereich IT-Sicherheit aktiv zu werden?” Zwei Drittel der Verantwortlichen nennen hier die “Erfahrungsberichte anderer” – nach der Devise: Lieber aus dem Schaden anderer klug werden. Nur etwa die Hälfte wird vor allem nach Vorfällen im eigenen Unternehmen aktiv oder nimmt die persönliche Haftung als Anstoß für verschärfte Sicherheitsvorkehrungen.

Nur jeder Siebte beruft sich bei der IT-Sicherheit auf Basel II. Das aber wird sich wohl spätestens in drei Jahren ändern, wenn die Kreditwürdigkeit eines Unternehmens tatsächlich nach international einheitlichem Standard bewertet wird – und die operationalen Risiken – wie IT-Systeme – in die Bewertung mit einfließen.

Je nach Branche …

Allerdings sollte man da wohl mit sehr differenzierten Erwartungen an die verschiedenen Branchen herangehen. Während beispielsweise im Baugewerbe die Verantwortlichen für IT-sicherheitsrelevante Investitionsentscheidungen vor allem in der Geschäftsführung zu finden sind, haben sonst überwiegend die IT-Spezialisten die Budgets in der Hand. Das liege einfach daran, so Studienautor Thomas Leitert von Timekontor, dass die Baubetriebe relativ klein und deshalb die Kompetenzen generell an der Spitze gebündelt sind. Das bedeutet aber nicht unbedingt, dass sich hier auch die IT-Kompetenz bündelt.

Anders sieht es bei den Finanzdienstleistern und Versicherern aus. Auch hier wird über IT-Sicherheit im Vorstand entschieden – allerdings von eigens dafür berufenen CIOs. Denn hier liegt schließlich die Gefährdung des Geschäftsbetriebs ganz anders.

Nicht zu viel, nicht zu wenig

Deshalb könne man von einem Baubetrieb vernünftigerweise nicht fordern, die IT-Sicherheit auf ein vergleichbar hohes Niveau zu bringen, das etwa seine Bank erreichen müsse, so Leitert. Wenn man sich denn einig darüber sei, dass die IT Geschäftsprozesse unterstütze, dann müssten eben diese Geschäftsprozesse vergleichbar sein, wenn es um Sicherheit gehe.

Außerdem sollte man berücksichtigen, wie stark die Vernetzung mit Zulieferern denn sei. Unternehmen der Automobilbranche seien dadurch beispielsweise gezwungen, die Latte der Sicherheitsstandards höher zu legen, weil sie eng mit großen Konzernen zusammenarbeiten müssten.

Auch wenn es immer wieder heißt, dass Sicherheit nicht an den Kosten scheitern sollte, gehe es letztendlich auch ums Geld, so Leitert: “Wer zu viel in IT-Sicherheit investiert, stellt sich gegenüber seinen Wettbewerbern möglicherweise schlechter.” Außerdem gelte die Faustregel: “Mehr Sicherheit, weniger Komfort.”

Propheten hatten’s noch nie leicht

Immerhin sind IT-Sicherheitsrichtlinien in den meisten Sektoren – also auch Industrie, Handel und öffentlicher Dienst – inzwischen die Regel. Zwischen 70 und 90 Prozent der Unternehmen haben sich dazu aufgerafft. Nur der Bau macht hier wieder die Ausnahme, hier ist es nur etwa jedes zweite Unternehmen.

Schafft es der engagierte IT-Sicherheitsbeauftragte erst einmal bis ins Unternehmen, ist zwar schon viel gewonnen – danach klagt er allerdings allzu oft über große Hindernisse. Und hier kann die Studie tatsächlich einige hilfreiche Hinweise liefern.

Hausaufgaben für die Hersteller

Fast jeder zweite der Befragten bemängelt, dass sich der Aufwand kaum gegen einen erkennbaren Nutzen gegenrechnen lässt. Wenn also die Hersteller sich am Rosi-Modell orientieren könnten, wäre vielen CIOs und Sicherheitsbeauftragten wohl geholfen. Dann könnten sie mit dem Return of Security Investments nicht nur Eindruck schinden, sondern auch für Transparenz sorgen. “Viele ITler wollen vor allem Erfahrungsberichte”, so Leitert, “um sich zu orientieren.”

Größter Stolperstein sind allerdings – wie bekannt – die nackten Kosten, die man erst einmal durchsetzen muss: 59 Prozent der Befragten haben damit zu kämpfen

Jeder Dritte beklagt sich aber auch darüber, dass die angebotenen Lösungen einfach zu komplex sind. Die Implementierung scheint also noch immer ein regelrechter Angstgegner zu sein. Beratung wäre angesagt: 29 Prozent wünschen sich mehr Entscheidungshilfen von außen.

Was tun?

Der Firmenchef, der sich jetzt wachgerüttelt fühlt, sollte nicht einfach in personalpolitischen Aktionismus verfallen, meint Thomas Leitert: “Es müssen gar nicht viele sein, die für die Sicherheit der IT verantwortlich sind. Einer reicht oft, der dann aber Durchgriffsrechte bis hinauf zum Vorstand haben sollte.” Und sie sollten – das wird die Betroffenen freuen – sich nicht mehr mit Patches oder Mitarbeiterschulungen herumschlagen, sondern sich voll und ganz auf die IT-Sicherheit ihres Unternehmens konzentrieren dürfen.