Risikomanagement für IT-Sicherheit: Fehlanzeige
Bundesdatenschutzgesetz, KonTraG, Aktiengesetz oder HGB: Deutsche Geschäftsführer unterschätzen Haftungsrisiken
Ab Juli 2008 greifen EU-weit verschärfte Regeln in Bezug auf die Dokumentation der IT- und Telekommunikationsinfrastruktur eines Unternehmens
(10.12.07) - Nur ein Drittel aller deutschen Unternehmen hat ein Risikomanagement für IT-Sicherheit eingerichtet. Und das, obwohl deutsche Gesetze wie das Bundesdatenschutzgesetz, KonTraG, Aktiengesetz oder HGB die Einführung eines IT-Sicherheitskonzepts vorschreiben.
Ab Juli 2008 greifen zudem EU-weit verschärfte Regeln in Bezug auf die Dokumentation der IT- und Telekommunikationsinfrastruktur eines Unternehmens. Zwar kommen mittlerweile in 80 Prozent der Unternehmen IT-Sicherheitslösungen zum Einsatz. Diese gehen allerdings nicht weit genug, um den gesetzlichen Vorgaben zu entsprechen. Die Vorstände und Geschäftsführer dieser Unternehmen unterschätzen dabei, dass ihnen bei Nichtbeachtung empfindliche Bußgelder und Geldstrafen, schlimmstenfalls sogar Gefängnis, drohen. Zu diesen Ergebnissen kommt die Studie "IT-Security 2007" der InformationWeek, die zusammen mit Steria Mummert Consulting ausgewertet wurde.
IT-Sicherheit hat in den Chefetagen der befragten Unternehmen noch nicht den Stellenwert, der nötig ist, um die IT-Systeme so sicher zu machen, wie es der Gesetzgeber verlangt. Auf einer Skala von eins (geringe Priorität) bis zehn (hohe Priorität) gibt jedes dritte befragte Unternehmen dem Thema IT-Sicherheit Werte zwischen eins und drei. Verstärkte Sicherheitsmaßnahmen werden zwar befürwortet.
Geht es jedoch um die konkrete Umsetzung der IT-Sicherheit, hat häufig das Tagesgeschäft Vorrang oder Budgetgründe sprechen gegen eine Dokumentation der IT-Infrastruktur und die Entwicklung eines Sicherheitsmanagements. Die Hälfte der befragten Fach- und Führungskräfte gibt an, dass aus Zeitmangel und aufgrund zu niedriger Budgets IT-Sicherheitsprojekte nicht durchgeführt werden können.
Neben den persönlichen Folgen für die Geschäftsleitung nimmt auch das Unternehmen selbst Schaden, wenn IT-Sicherheit zu stiefmütterlich behandelt wird. Neben einem massiven Ansehensverlust schwächen Firmen mit niedrigem IT-Sicherheitsstandard ihre Marktposition. Sie müssen beispielsweise aufgrund der Basel II-Bestimmungen unter Umständen Kredite teurer einkaufen oder höhere Versicherungsprämien zahlen.
In Teilfeldern haben die befragten Unternehmen die Situation erkannt und steuern gegen. Die Organisation des E-Mail-Verkehrs entspricht beispielsweise in 69,2 Prozent der Betriebe den jetzt geltenden Regelungen. Hier existieren unter anderem klare Vorschriften, wie und in welchem Umfang elektronische Post archiviert wird.
Zudem ist die Nutzung von Firmenanwendungen für private Zwecke eindeutig geregelt. Den Mangel an Zeit und Geld überwinden viele Firmen mit dem Auslagern von IT-Sicherheitsaufgaben an externe Spezialisten. Die Sicherheitsbereiche rund um E-Mail, Firewall, Einbruchsprävention und Virenschutz werden in mehr als der Hälfte der Unternehmen komplett oder teilweise von Dienstleistungsunternehmen betreut.
Hintergrundinformationen
An der Studie "IT-Security 2007" nahmen in der Zeit von Mai bis Juli 2007 533 IT-Manager und IT-Security-Verantwortliche aus Deutschland teil. Die Befragung wurde in Form elektronischer Interviews von der Fachzeitschrift InformationWeek durchgeführt und mit Unterstützung von Steria Mummert Consulting ausgewertet
(Steria Mummert: ra)
Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>