IT-Sicherheit in Unternehmen ist oft nur Flickwerk
Kloten/Stuttgart, 01. August 2006 - Wer in einem Unternehmen Verantwortung für die Informationstechnik trägt, kommt sich manches Mal vor wie der einsame Rufer in der Wüste. Vielfach führen IT-Verantwortliche nämlich ein recht eigenwilliges Dasein. Kosten- und Produktivitätsgesichtspunkte bilden das Raster für die Bewertung ihrer Arbeit, wie eine Studie der Managementberatung A.T. Kearney www.atkearney.de belegt, an der weltweit 200 Vorstände, Führungskräfte und IT-Leiter teilgenommen haben. Dabei gaben 70 Prozent der Befragten an, dass Investitionen in IT die Realisierung ihrer Unternehmensstrategien erst ermöglichen, aber nur ein Drittel der Unternehmen bezeichnet die eigene IT-Planung als klar an der Unternehmensstrategie ausgerichtet. „Investitionen in die Informationstechnik eines Unternehmens zielen nach wie vor meist darauf ab, das tägliche Geschäft abzuwickeln und Kosten zu reduzieren, anstatt sie an Produktinnovationen und Ertragssteigerungen zu messen“, sagt Dirk Buchta, Vice President bei A.T. Kearney.
Fünftes Rad am Wagen ist vielfach die IT-Sicherheit. So hat die Nationale Initiative für Internetsicherheit www.nifis.de herausgefunden, dass mehr als die Hälfte aller Sicherheitsvorfälle auf das Konto eigener Mitarbeiter gehe. Meist machten sie aus Unkenntnis Fehler. Drei Viertel der befragten IT-Manager, erklärte Nifis-Vorsitzender Peter Knapp, sehen „die Aufklärung der eigenen Mitarbeiter bei bestehenden und potenziellen Sicherheitsrisiken als besondere Herausforderung.“ Verbesserte Schulung und Information tut demnach Not. IT-Sicherheit geht aber viel weiter, wie Hannes P. Lubich von Computer Associates www.ca.com unterstreicht: „Sicherheitsprobleme und Sicherheitsherausforderungen, aber auch die weitere Erhöhung der Komplexität und Einführungsgeschwindigkeit neuer Technologien und Funktionalitäten werden uns sowohl im privaten wie im öffentlichen und geschäftlichen Bereich erhalten bleiben. Anbieter von IT-Dienstleistungen haben daher keine andere Wahl, als ihre knappen IT-Sicherheitsressourcen möglichst optimal einzusetzen und – gemeinsam mit den Besitzern der unterstützten Geschäftsprozesse – zu entscheiden, wo und wie das personelle Wissen einzusetzen ist.“ Lubich vermutet, „dass sich viele Unternehmen auch heute noch weder der Kosten durch Sicherheitsvorfälle noch daraus abzuleitenden Kosten für die IT-Sicherheit bewusst sind. Daher werde bereits seit einiger Zeit ein Modell namens Rosi (Return on Security Investment) als Grundlage für die Schätzung der Investitionen in IT-Sicherheit angewendet. Darin würden Kosten für Schadenbeseitigung und Gegenmaßnahmen berechnet. Alternativ biete sich beispielsweise die klassische Versicherungsrechnung an, wonach zwei Prozent der erwarteten Schadenshöhe in Gegenmaßnahmen investiert würden. Eine dritte Möglichkeit schließlich sei die Zuhilfenahme von Erfahrungswerten in unterschiedlichen Branchen.
„Tatsächlich gibt es keine objektive und allgemein gültige Berechnungsformel für den Return on Investment. Weil diese auch immer abhängig sind von individuellen Kundenanforderungen, gelte dieser Punkt als unausgereift“, meint Massimiliano Mandato, Network Security Consultant des Stuttgarter Systemintegrators NextiraOne www.nextiraone.de. „Erfahrungen in Sicherheitsfragen und Kundenbeziehungen spielen eine sehr große Rolle, wenn es um die Integration eines Sicherheitssystems geht.“ Dabei unterscheidet er zwischen kleinen und mittleren Unternehmen auf der einen und Großunternehmen auf der anderen Seite. Besonders bei kleinen Betrieben spiele der lokale Bezug eine wichtige Rolle. „Viele Kunden im Mittelstand greifen auf lokale Anbieter von Sicherheitssystemen zurück. Diese sind aber meistens produktorientiert und kennen viele Sicherheitsmechanismen nur oberflächlich.“ Dann werde beispielsweise ein Firewallsystem verkauft und installiert, obwohl eigentlich mehr Antivirenschutz nötig sei.
Dagegen fehlt bei Großunternehmen eine Strategie aus einem Guss, weil Unternehmensteile auf unterschiedliche Anbieter von Sicherheitslösungen setzen und diese in den seltensten Fällen aufeinander abgestimmt sind. Die Folge sei ein Flickwerk. Das resultiert laut Mandato daraus, „dass der strategische Ansatz fehlt und der Überblick über das Sicherheitssystem verloren geht.“
Bei Rückfragen
nic.pr
network integrated communication
Kurfürstenstraße 40
53115 Bonn
Fon: 0228-620 4382
Fax: 0228-620 4475
info@nic-pr.de
www.nic-pr.de
Fünftes Rad am Wagen ist vielfach die IT-Sicherheit. So hat die Nationale Initiative für Internetsicherheit www.nifis.de herausgefunden, dass mehr als die Hälfte aller Sicherheitsvorfälle auf das Konto eigener Mitarbeiter gehe. Meist machten sie aus Unkenntnis Fehler. Drei Viertel der befragten IT-Manager, erklärte Nifis-Vorsitzender Peter Knapp, sehen „die Aufklärung der eigenen Mitarbeiter bei bestehenden und potenziellen Sicherheitsrisiken als besondere Herausforderung.“ Verbesserte Schulung und Information tut demnach Not. IT-Sicherheit geht aber viel weiter, wie Hannes P. Lubich von Computer Associates www.ca.com unterstreicht: „Sicherheitsprobleme und Sicherheitsherausforderungen, aber auch die weitere Erhöhung der Komplexität und Einführungsgeschwindigkeit neuer Technologien und Funktionalitäten werden uns sowohl im privaten wie im öffentlichen und geschäftlichen Bereich erhalten bleiben. Anbieter von IT-Dienstleistungen haben daher keine andere Wahl, als ihre knappen IT-Sicherheitsressourcen möglichst optimal einzusetzen und – gemeinsam mit den Besitzern der unterstützten Geschäftsprozesse – zu entscheiden, wo und wie das personelle Wissen einzusetzen ist.“ Lubich vermutet, „dass sich viele Unternehmen auch heute noch weder der Kosten durch Sicherheitsvorfälle noch daraus abzuleitenden Kosten für die IT-Sicherheit bewusst sind. Daher werde bereits seit einiger Zeit ein Modell namens Rosi (Return on Security Investment) als Grundlage für die Schätzung der Investitionen in IT-Sicherheit angewendet. Darin würden Kosten für Schadenbeseitigung und Gegenmaßnahmen berechnet. Alternativ biete sich beispielsweise die klassische Versicherungsrechnung an, wonach zwei Prozent der erwarteten Schadenshöhe in Gegenmaßnahmen investiert würden. Eine dritte Möglichkeit schließlich sei die Zuhilfenahme von Erfahrungswerten in unterschiedlichen Branchen.
„Tatsächlich gibt es keine objektive und allgemein gültige Berechnungsformel für den Return on Investment. Weil diese auch immer abhängig sind von individuellen Kundenanforderungen, gelte dieser Punkt als unausgereift“, meint Massimiliano Mandato, Network Security Consultant des Stuttgarter Systemintegrators NextiraOne www.nextiraone.de. „Erfahrungen in Sicherheitsfragen und Kundenbeziehungen spielen eine sehr große Rolle, wenn es um die Integration eines Sicherheitssystems geht.“ Dabei unterscheidet er zwischen kleinen und mittleren Unternehmen auf der einen und Großunternehmen auf der anderen Seite. Besonders bei kleinen Betrieben spiele der lokale Bezug eine wichtige Rolle. „Viele Kunden im Mittelstand greifen auf lokale Anbieter von Sicherheitssystemen zurück. Diese sind aber meistens produktorientiert und kennen viele Sicherheitsmechanismen nur oberflächlich.“ Dann werde beispielsweise ein Firewallsystem verkauft und installiert, obwohl eigentlich mehr Antivirenschutz nötig sei.
Dagegen fehlt bei Großunternehmen eine Strategie aus einem Guss, weil Unternehmensteile auf unterschiedliche Anbieter von Sicherheitslösungen setzen und diese in den seltensten Fällen aufeinander abgestimmt sind. Die Folge sei ein Flickwerk. Das resultiert laut Mandato daraus, „dass der strategische Ansatz fehlt und der Überblick über das Sicherheitssystem verloren geht.“
Bei Rückfragen
nic.pr
network integrated communication
Kurfürstenstraße 40
53115 Bonn
Fon: 0228-620 4382
Fax: 0228-620 4475
info@nic-pr.de
www.nic-pr.de