Eine IT-Security-Strategie legt die Ausrichtung und Ziele der IT-Sicherheit im Unternehmen fest und definiert ihren Stellenwert. Fast drei Viertel der mittelständischen Unternehmen und öffentlichen Verwaltungen haben bereits eine IT-Security-Strategie festgelegt oder planen ihre Einführung. Die schlechte Nachricht: Dabei sind viele Umsetzungsprobleme feststellbar.
Dies ist ein Ergebnis der Studie Security Bilanz Deutschland. Für die Studie hat das Analystenhaus techconsult zum dritten Mal in Folge 500 Mittelständler und öffentliche Verwaltungen befragt.
IT-Security-Strategie genießt hohe Priorität
Immerhin weisen 20 Prozent der Unternehmen eine eigenständige IT-Security-Strategie auf. Die Eigenständigkeit verdeutlicht, dass das Thema im Unternehmen hohe Priorität genießt. Dadurch wird verhindert, dass es von anderen drängenden IT-Themen überschattet wird.
Zudem sind Verantwortlichkeit und Budget zumeist eindeutig definiert, wenn eine explizite IT-Security-Strategie existiert. Häufiger ist sie jedoch im Rahmen einer allgemeinen IT-Strategie abgebildet. Dies ist bei 37 Prozent der Befragten der Fall. Zudem planen 16 Prozent eine IT-Security-Strategie einzuführen.
Nach Branchen betrachtet sind es mit 81 Prozent Banken und Versicherungen, die am häufigsten eine IT-Security-Strategie besitzen. Bei einem Drittel der Banken und Versicherungen genießt das Thema sogar einen so großen Stellenwert, dass sie eigenständig definiert ist und nicht nur in der allgemeinen IT-Strategie enthalten ist.
Umsetzungsprobleme in vielen Bereichen der Strategie
In vielen Bereichen der strategischen Umsetzung von IT- und Informationssicherheit lassen sich Defizite feststellen. Deshalb geben durchschnittlich zwei Drittel der Unternehmen an, dass die Umsetzung strategischer Maßnahmen derzeit nicht gut bis gar nicht vorhanden ist.
Blick auf die Branchen
- Öffentliche Verwaltungen und Non-Profit-Unternehmen sehen insbesondere Defizite darin, Maßnahmen regelmäßig auf ihre Aktualität zu prüfen und sie gegebenenfalls zu aktualisieren. Das bedeutet wiederum, dass die Maßnahmen damit zu veralten drohen. Infolgedessen könnten Sie im Extremfall sogar wirkungslos werden.
- In vielen Handelsunternehmen fehlen Prozesse zur Definition und Dokumentation von einzusetzenden Maßnahmen. Dementsprechend haben 71 Prozent diese Aufgabe nicht gut oder gar nicht umgesetzt. Im schlimmsten Fall führt das dazu, dass unzureichend definierte Maßnahmen nicht die gewünschte Wirkung entfalten. Deswegen wird auch eine Erfolgskontrolle nur schwer bis unmöglich.
- Außerdem sehen Unternehmen der Industrie am häufigsten Umsetzungsprobleme darin, IT-Security in die Unternehmensprozesse zu integrieren. Erfolgt eine solche Integration nicht, können häufige Konflikte zwischen den Anforderungen der Geschäftseinheiten und jenen der IT- und Informationssicherheit die Folge sein.
- Bei Dienstleistern erscheint insbesondere die Maßnahmennachverfolgung Probleme zu bereiten: 69 Prozent geben an, dass die Festlegung von Prozessen zur regelmäßigen Überprüfung auf Einhaltung von Regelungen (z.B. hinsichtlich gesetzlicher Vorgaben, IT-Compliance) Defizite aufweist oder sogar nicht vorhanden ist. Im schlimmsten Fall drohen somit empfindliche Strafen, wenn etwa gesetzliche Datenschutzbestimmungen missachtet werden.
- Banken und Versicherungen sind zwar in vielen Belangen der IT- und Informationssicherheit deutlich besser aufgestellt als Unternehmen anderer Branchen, so auch im Bereich der strategischen Umsetzung von IT-Security, trotzdem finden sich auch hier einige Problemstellen. Am häufigsten ist die Abstimmung der Investitions- und Personalplanung mit den Bedarfen der IT-Security und eine entsprechende Ressourcenbereitstellung nicht gut umgesetzt bis nicht vorhanden.Hierdurch sehen zwei Drittel der Banken und Versicherungen hier Verbesserungspotenzial. Dementsprechend kann man feststellen: Fehlen Personal und Budget, führt dies mitunter dazu, dass Maßnahmen nicht rechtzeitig, wirkungsvoll und nachhaltig umgesetzt werden können.
Weitere Ergebnisse der Studie stehen auf der Webseite des Projekts zum Download bereit. Zusätzlich finden interessierte Unternehmen dort den Security Consulter, ein kostenloses Tool, mit dem Sie sich an den Studienergebnissen messen können. Dadurch erhalten Unternehmen eine Einschätzung ihrer IT-Sicherheit im Vergleich zum Wettbewerb: