Vom IT-Manager zum Abwehrchef

Zu den am schnellsten wachsenden Produktgruppen der letzten Jahre zählen neben Intrusion-Detection- und -Prevention-Systemen die Content-Filterung und die Systeme zur Authentifizierung über Secure ID oder Token Card. Investiert wird auch zunehmend in Auditing-Systeme zur Überprüfung der eigenen Sicherheit.

Budget & Einkaufspolitik

Wie auch in den Jahren davor konnte auch in diesem Jahr etwa ein Drittel der Befragten bestätigen, dass ihr Security-Budget im vergangenen Jahr gewachsen ist. Für weitere 42 Prozent war es etwa gleich geblieben. Verringert hatte es sich nur für 3 Prozent.

Welcher Anteil des gesamten IT-Budgets wird der Sicherheit gewidmet? Fast ein Drittel der Befragten geben 5 bis 10 Prozent ihres Etats für Security-Tools und Dienstleistungen aus, für 17 Prozent der Befragten war es zwischen 10 und 15 Prozent ihres Budgets. Unter Berücksichtigung der Entwicklung in den vergangenen Jahren scheint sich der Richtwert wieder auf etwa 10 Prozent des Budgets einzupendeln, nachdem 2005 die Sicherheit aufgrund einer Häufung neuer Gefahren etwas höher lag.

Bei der Frage nach der Einkaufspolitik zeigen sich 36 Prozent der Befragten noch unentschlossen, nach welchen Kriterien sie sich künftig ihre Security-Ausstattung zulegen wollen: Lieber einzelne Produkte, die ihrer Kategorie die besten Eigenschaften vorweisen (best-of-breed); mehr Lösungen aus einer Hand und damit eine Einschränkung der Anzahl der bevorzugten Lieferanten; oder ein Suitenkonzept, welches Gewicht  auf den Einsatz von vollständig integrierten Lösungen eines Herstellers legt, um einzelne Schlüsselbereiche komplett abzusichern.

Tendenziell spricht einiges gegen Best-of-Breed-Lösungen. Sie mögen zwar im Einzelfall spezielle Probleme besser lösen, doch bei den IT-Verantwortlichen verbreitet sich die Einsicht, dass Sicherheit nicht nur die Summe vieler Einzeldisziplinen ist. Die einzelnen Lösungen müssen in ein umfassendes Konzept passen und sich untereinander vertragen – was bei Produkten mehrerer Hersteller oft nicht der Fall ist. Deswegen schneiden sowohl der verstärkte Einsatz von Produkten aus einer Hand als auch das Suitenkonzept besser ab. In ihrer Summe wird der Wunsch nach umfassenden Lösungen deutlich.

IT-Security als Aufgabe

Bei der Frage nach den verschiedenen Security-Komponenten, die in einem Unternehmen implementiert sind, wird deutlich, welche Komplexität das Thema Sicherheit mittlerweile für die Verantwortlichen erreicht hat. Verständlicher Weise sind die einzelnen Komponenten je nach Unternehmensgröße unterschiedlich verbreitet. Dennoch wird klar, dass es für jede Unternehmensgröße noch viel nachzuholen gibt. Denn selbst elementare Dinge wie Richtlinien für das Client-Management, ein umfassendes Sicherheitskonzept oder die Überwachung von Richtlinien sind bei viel zu vielen Unternehmen noch nicht eingeführt.

Der Fortschritt an der Implementation einzelner Komponenten ist deutlich erkennbar. Stark zugenommen haben die Bestellung von Sicherheits- und Datenschutzbeauftragten, die Einführung von Sanktionen bei Nichteinhaltung der Richtlinien sowie die Manifestation von Richtlinien für Zulieferer und Geschäftspartner. Auch die regelmäßigen Security-Audits nehmen zu, doch sie bewegen sich noch immer auf einem eher niedrigen Niveau.

Allerdings muss man den Verantwortlichen attestieren, dass das in den letzten Jahren explosionsartig angestiegene Aufgabenpensum in Sachen Sicherheit es ihnen nicht leicht macht. Die Ergebnisse der silicon.de Studie zeigen, mit welchen Pflichten die Befragten belastet sind, wenn es um IT-Sicherheit geht. Es sind sehr viele, und kaum einer der Befragten hat Sicherheit als alleiniges Tätigkeitsfeld auf seiner Agenda. 

IT-Security und interne Kommunikation

Dass es mit der Etablierung von Sicherheitsstrukturen in deutschen Unternehmen in der Regel sehr langsam geht, liegt nicht allein am Mangel an Ressourcen. Das Engagement der Unternehmensführung lässt immer noch in den meisten Unternehmen zu wünschen übrig. Am deutlichsten drückt es sich aus am Mangel an Kommunikation mit den eigenen Mitarbeitern zu diesem Thema, was letztere mit dem Umstand quittieren, das eigentlich größte Sicherheitsrisiko für die IT-Sicherheit zu sein.

Grafik 11 zeigt, dass es selbst bei größeren Unternehmen oft keine schriftliche Richtlinie gibt, die den Mitarbeitern zumindest einmalig ausgehändigt werden kann. Noch weniger Unternehmen sind darum bemüht sicherzustellen, dass eine schriftliche Richtlinie auch tatsächlich zu eigen gemacht wird, beispielsweise mittels Informationsveranstaltungen zum Thema. Was Pflicht sein sollte wird viel zu oft der Freiwilligkeit und damit der Nachlässigkeit des einzelnen ausgesetzt.