“IT-Sicherheit braucht Qualitätssicherung”

silicon.de: Wie schätzen Sie die Haltung der IT-Manager ein? Haben Sie die richtige Einstellung zur IT-Sicherheit gefunden oder sind diese immer noch zu leichtfertig?

Graf: Hier möchte ich den IT-Security-Experten Professor Klaus Brunnstein zitieren. Er ist der Ansicht, dass vielen Verantwortlichen die Bedeutung der IT-Sicherheit immer erst dann wieder bewusst wird, wenn ein schädliches Ereignis eingetreten ist – egal, ob es nur ein Befall mit Malware oder ein Angriff aus dem Internet war. Dann werden sie oft hektisch und wenig koordiniert aktiv. Danach tritt wieder Ruhe ein und das Risikobewusstsein wird erst beim nächsten Mal wieder geweckt. Der Fall Conficker/Downad hat deutlich gemacht, dass viele Unternehmen die Sache zu leicht genommen haben.

silicon.de: Wie haben sich die Budgets für IT-Sicherheit nach Ihrer Einschätzung in diesem Jahr entwickelt? Was prognostizieren Sie in dieser Sache für das kommende Jahr?

Graf: Unternehmen haben in diesem Jahr aufgrund der allgemeinen Wirtschaftslage keine großen Investitionen in IT-Sicherheit getätigt, sondern eher konsolidiert. Wir gehen nicht davon aus, dass die Budgets im Jahr 2010 dem Security Management viel Spielraum lassen.

Die Verschnaufpause sollten die Verantwortlichen nutzen, um aus unserer Sicht vielerorts offene Fragen zu klären: Funktionieren denn die Systeme, die ich habe, verlässlich? Erfüllen sie wirklich die Vorgaben aus den Security Policies? Wie aussagekräftig sind die Reports, die ich von meinen Systemen bekomme? Habe ich als Sicherheitsverantwortlicher selbst die Möglichkeit, mir mehr Transparenz zu verschaffen? Führen meine Richtlinien zum optimalen Schutzniveau und geringen Restrisiko? Das bietet eine gute Grundlage, um bei neuen Investitionen wirklich mehr Sicherheit für die Unternehmens-IT zu schaffen.