Nachholbedarf bei IT-Sicherheit und IT-Compliance
Unternehmen und Verwaltungen im deutschsprachigen Raum messen IT-Sicherheit und IT-Compliance eine hohe Bedeutung bei, haben dafür jedoch nur wenige Mittel und Personal zur Verfügung. Dies sind Ergebnisse der Studie ‘IT-Sicherheitsstandards und IT-Compliance’, die der Regensburger Marktforscher ibi research in diesem Jahr zum ersten Mal durchgeführt hat.
Die Studie beruht auf 294 Fragebögen, die meist durch die IT-Sicherheitsverantwortlichen von Unternehmen und Verwaltungen ausgefüllt wurden. Ein signifikanter Anteil der Teilnehmer waren Geschäftsführer, IT-Leiter oder Datenschutzbeauftragte. Die Teilnehmerstruktur ist auf Seite 15 der Präsentation des Studienautors Dr. Stefan Kronschnabl auf der IT-Sicherheitsmesse it-sa in Nürnberg ersichtlich.
Nach Angaben von ibi research schätzten 75 Prozent der Teilnehmer die Bedeutung von IT-Sicherheit als ‘hoch bis sehr hoch’ ein, die Bedeutung von IT-Compliance wurde von 59 Prozent als hoch bis sehr hoch bezeichnet. Die Mehrheit der Firmen und Verwaltungen geht auch künftig von einer steigenden Bedeutung von IT-Sicherheit und IT-Compliance aus – beschäftigt aber derzeit maximal fünf Mitarbeiter in diesen Bereichen.
Neben mehr finanziellen Mitteln sei damit auch mehr qualifiziertes Personal erforderlich, hieß es von ibi research. Eklatant sei, dass die Bereiche IT-Sicherheit und IT-Compliance nur in durchschnittlich sieben Prozent der Unternehmen sehr gut umgesetzt sind (Abbildung 1). Dies zeige eine Diskrepanz zwischen der Bedeutung und der Umsetzungsqualität in den Institutionen.
Zur Umsetzung von Gesetzen und Regularien sowie Standards und IT-Frameworks bedienen sich die Firmen und Verwaltungen fremdentwickelter Software und gewinnen dadurch Effektivitäts- und Effizienzvorteile. 41 Prozent setzen noch keine Software ein. Diese Gruppe fordert mehr Funktionen und Bedienerfreundlichkeit von Software sowie eine bessere Anbindung und Anpassung an betriebliche Prozesse. Zudem wird ein niedrigerer Preis gefordert (Abbildung 2).
Insgesamt lassen sich nur sehr wenige Institutionen nach ISO 27001 auf Basis von IT-Grundschutz oder nach ISO/IEC 27001 zertifizieren. Gut die Hälfte der Studienteilnehmer greift zur Vorbereitung der Zertifizierung auf externe Partner zurück. 80 Prozent waren mit diesen Partnern zufrieden.