Studie: Unternehmen sparen an IT-Sicherheit

Weltweit sparen Unternehmen an ihrer IT-Sicherheit und gefährden damit ihre strategischen Geschäftziele. Dies ergab jetzt eine Umfrage von Ernst & Young zur IT-Sicherheit in Unternehmen. Befragt wurden 1400 IT-Verantwortliche und Geschäftsführer von Unternehmen verschiedener Branchen in 66 Ländern. Obwohl 90 Prozent der Befragten IT-Sicherheit für wichtig halten, räumte ein Drittel ein, im Falle eines Angriffes auf ihre IT-Systeme nur unzureichend reagieren zu können. 34 Prozent gaben an, nur bedingt Überblick zu haben, ob und wann Ihre Systeme überhaupt attackiert werden.

Als wichtigsten Grund für bestehende Sicherheitslücken nannten weltweit nur 16 Prozent der Unternehmen unausgereifte Technologien. Dagegen verweisen 55 Prozent auf Budgetbeschränkungen als größtes Hindernis. Über eine zu geringe Aufmerksamkeit des Managements gegenüber IT-Themen klagen 24 Prozent, 32 Prozent fehlt die Zustimmung des Managements völlig. "Geschäftsziele und Sicherheitsstrategie der Unternehmen stimmen oft nicht überein" - kommentiert Marcus Rubenschuh, IT-Sicherheitsexperte bei Ernst & Young.

Eine vergleichsweise hohe Aufmerksamkeit richten die Manager weltweit der Abwehr von schwerwiegenden Krisensituationen. Allein in Deutschland hielten schon vor dem 11. September 2001 39 Prozent der Befragten Katastrophenschutz für wichtig bis sehr wichtig (weltweit 41 Prozent). Unmittelbar nach dem 11. September waren dies 70 Prozent (weltweit 64 Prozent), heute sind dies sogar 73 Prozent (weltweit 65 Prozent) . "Die Unternehmen investieren viel in Sicherheitsmaßnahmen, die den völligen Geschäftsstillstand verhindern sollen, unterschätzen aber die vermeintlich kleinen Sicherheitslücken", kritisiert Rubenschuh. Die häufigere und insgesamt größte Gefahr ginge aber gerade von weniger beachteten Risiken aus: "Es sind nicht nur Katastrophen oder Cyber-Terroristen, die das Geschäft nachhaltig beeinträchtigen können. Eine viel größere Eintrittswahrscheinlichkeit haben alltäglichere Risiken, wie z.B. der Diebstahl von intellektuellem Kapital oder Computer-Viren und -Würmern."

Als hohe oder sehr hohe Gefahr bezeichnen die Hälfte (51 Prozent) der Unternehmen Viren und Würmer. 32 Prozent sehen leichtsinniges oder absichtliches Fehlverhalten von Mitarbeitern als hohes Risiko. Dennoch geben 83 Prozent der Unternehmen das meiste Geld lediglich für die Anschaffung neuer Hard- und Software aus: Nur 29 Prozent der Befragten gaben an, einen Großteil des Budgets in Sensibilisierungsmaßnahmen für Mitarbeiter zu investieren. "Technik allein ist kein Allheilmittel" warnt Rubenschuh. Zwar können sich Unternehmen mit entsprechender Software gegen Viren schützen. Bei bestimmten Schwachstellen, wie z.B. aktuell vom "Lovsan"-Wurm ausgenutzt, seien diese Programme jedoch häufig machtlos. Hier sei die Aufmerksamkeit und das Know-How der IT-Mitarbeiter gefordert, die auf entsprechende Sicherheitswarnungen zeitnah reagieren und die IT-Systeme sichern müssten. "Wenn dann noch die IT-Nutzer für IT-Sicherheit sensibiliert sind, können viele Risiken bereits frühzeitig abgewendet werden", so Rubenschuh.

Deutschland: Kostenreduktion wichtiger als Risikominimierung
Risikoreduktion, gesetzliche Bestimmungen und die Sorge um das Image sind international die häufigsten Gründe für Investitionen in neue Sicherheitsmaßnahmen. Lediglich in Deutschland sind angesichts der wirtschaftlichen Rezession zu 51 Prozent Kostenreduktion, gefolgt von gesetzlichen Vorschriften (47 Prozent) und Risikoreduktion (44 Prozent) die am häufigsten genannten Kriterien für Sicherheitsinvestitionen. International hielten nur 23 Prozent Kostenreduktion für entscheidungsrelevant. An der Sicherheit zu sparen, könne fatale Auswirkungen auf die gesamte Geschäftspraxis haben, mahnt Rubenschuh: "Sicherheitsanspruch und Realität in deutschen Unternehmen stimmt nicht überein."

Quelle: Ernst & Young