Derzeit verfügen nur zehn Prozent der Unternehmen über ein zertifizierbares ISMS. Weitere 15 Prozent nutzen ein partielles beziehungsweise nicht nach internationalen Normen wie ISO 27001 zertifizierbares ISMS. Noch mehr befinden sich gegenwärtig in der Planungsphase oder bereits in der Umsetzung. Das berichtet die Carmao GmbH, ein Expertenpool von 60 zertifizierten Consultants, die sich mit Informationssicherheit, IT-Risikomanagement, IT-Compliance und Datenschutz beschäftigen.

"Seit dem vergangenen Jahr ist ein deutlicher Ruck durch den Markt gegangen", beobachtet Geschäftsführer Ulrich Heun. Viele Unternehmen seien durch das IT-Sicherheitsgesetz, die neue EU-Datenschutz-Grundverordnung und weitere gesetzliche Anforderungen unter Handlungsdruck geraten. "Dabei spielt ein Managementsystem für Informationssicherheit fast immer eine wesentliche Rolle."

Carmao hat über 200 IT-Sicherheitsverantwortliche aus Unternehmen mit einem Jahresumsatz von über 50 Millionen Euro befragt. Eines der Ergebnisse ist, dass rechtliche Notwendigkeiten das entscheidende Motiv für den Aufbau eines ISMS sind. 56 Prozent nennen diesen Aspekt als hauptsächlichen Treiber, 51 Prozent sagen, die steigenden Sicherheitsrisiken seien der wichtigste Motivator. Viele Unternehmen berichten zudem, dass ihre Auftraggeber und Geschäftspartner heute ein ISMS einfordern (24 Prozent).

Die Studie gibt auch Aufschluss darüber, warum sich Unternehmen bislang mit einem ISMS zurückgehalten haben. Unter anderem zeigt sich, dass die Chefetagen zu den Bremsern gehören. Mehr als jeder zweite Befragte gibt in der Erhebung an, dass es für die Implementierung eines ISMS bisher an der Unterstützung durch die Geschäftsleitung gefehlt habe. "Dass Topmanager dem Thema gegenüber heute aufgeschlossener sind, dürfte den neuen gesetzlichen Verpflichtungen, aber auch einem veränderten Klima in den Unternehmen geschuldet sein", meint Heun.