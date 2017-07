Für eine aktuelle Security-Studie der COMPUTERWOCHE in Kooperation mit Cisco und dem German Chapter des Security-Fachverbands (ISC)² wurden fast 800 IT- und IT-Security-Entscheider in Deutschland befragt. Dabei ging es zum einen um die aktuelle Bedrohungslage, vor allem aber auch um die strategischen Entscheidungs- und Berichtswege im Bereich IT-Security sowie um -Budgets und Auswahlkriterien für IT-Security-Dienstleister.

Die gute Nachricht vorweg: Mehr als 80 Prozent der befragten Unternehmen verfügen über eine IT-Security-Strategie - wenn diese auch zumeist im Segment "Großunternehmen" anzusiedeln sind. Die Entwicklung und praktische Umsetzung dieser Strategie ist überwiegend Aufgabe des CIOs oder des IT-Leiters. Nicht einmal ein Fünftel der Unternehmen sieht hier den Chief Security Information Officer (CISO) oder obersten IT-Security-Verantwortlichen in der Pflicht. Das liegt aber auch daran, dass sich die Funktion des CISO bei weitem nicht in allen Unternehmen - nicht einmal allen großen - wiederfindet. Den Studienergebnissen zufolge haben nur 60 Prozent der Unternehmen dezidierte Personen oder Abteilungen, die ausschließlich und alleine für Informationssicherheit zuständig sind, selbst in Großunternehmen sind es nur drei Viertel.

Unterschiedliche Berichtswege

Erstaunlich ist der Fakt, dass der Security-Verantwortliche, so es denn einen gibt, in fast jedem zweiten Unternehmen direkt an den Geschäftsführer oder CEO berichtet und nur in jedem dritten an den CIO und IT-Leiter. Besonders in Großunternehmen führt der unmittelbare Berichtsweg zunehmend häufiger auch zum Finanzvorstand/CFO.

Wenn die internen Ressourcen fehlen, werden externe oder zumindest mehr finanzielle Mittel benötigt - und das spiegelt sich auch in den Ergebnissen der Befragung wider: Vier von fünf Unternehmen möchten mehr Geld in den IT-Security-Bereich stecken - knapp jedes dritte wird in den nächsten zwölf Monaten das Budget hierfür definitiv erhöhen. Nur rund drei Prozent der Unternehmen möchte auf weitere Investitionen verzichten, weil sie sich als "ausreichend geschützt" einschätzen.

Investitionen in externe Dienstleister und interne Trainings

Wohin fließt das Geld? Während jedes fünfte Unternehmen seine IT-Security selbst in die Hand nimmt, vertrauen vor allem Großunternehmen verstärkt auf Hilfe von außen. Zu den Gebieten, die am stärksten nachgefragt sind, gehören der Aufbau und die Pflege einer Sicherheitsarchitektur, Penetrationstests, die Evaluierung von Security-Lösungen und die (intelligente) Abwehr von Angriffen. Bei der Wahl des externen IT-Security-Anbieters legen die Unternehmen gesteigerten Wert auf technisches Know-how, ein Rechenzentrum in Deutschland und das Preis-Leistungs-Verhältnis. Auch Dinge wie Produkt- und Personenzertifizierungen, Service Level Agreements und Kundenreferenzlisten spielen bei der Anbieterwahl eine Rolle.

Und wovor fürchten sich die Unternehmen derzeit besonders? Es sind natürlich Bedrohungen von außen wie beispielsweise Ransomware. Gerade die befragten CISOs und obersten IT-Sicherheits-Verantwortlichen sehen aber im "Faktor Mensch" das größte Bedrohungsrisiko für die Organisation. Leichtsinn, Kopflosigkeit und Naivität der eigenen Mitarbeiter - explizit nicht deren Vorsatz und Boshaftigkeit - bereitet den Security-Managern Kopfzerbrechen. Investitionen in Awareness-Programme und Mitarbeitertrainings stehen entsprechend ebenfalls ganz oben auf der Budget-Agenda.

