Mängel beim Risiko-Management
Voraussetzung, um Kosten und Nutzen abwägen und die Ressourcen entsprechend verteilen zu können, sei allerdings ein umfassendes Risiko-Management. Und hier besteht nach wie vor erheblicher Nachholbedarf, wie die Studie zeigt. So werden solche Analysen meist punktuell von der IT angestoßen (62 Prozent der Befragten). Ein kontinuierliches, an die Prozesse angebundenes Risiko-Management erfolgt dagegen nur in knapp 40 Prozent der Firmen. Und lediglich in jedem dritten Unternehmen sind die Business-Verantwortlichen involviert, um die Bedeutung eines bestimmten Risikos nicht nur für die operative IT, sondern für das Unternehmen als Ganzes zu berücksichtigen. "In der Realität liegt der Anteil allerdings noch niedriger", weiß Funk aus Erfahrung. Vielen Firmen fehle der Mut, die Risiken zu quantifizieren.
Hinzu kommt, dass Risikoanalysen meistens durch den CIO oder - in kleineren Unternehmen - durch die Geschäftsleitung initiiert werden. Im Sinne einer engeren Zusammenarbeit zwischen IT und Geschäft ist es jedoch sinnvoll, einen aus leitenden Angestellten verschiedener Unternehmensbereiche bestehenden Sicherheitsausschuss (Security Steering Committee) zu etablieren, empfiehlt der Berater. Und über eine solche Schnittstellenfunktion verfügen bislang nur 28 Prozent der befragten Firmen. Vor diesem Hintergrund bezieht sich das Risiko-Management vielerorts nur auf die Verbesserung von Backup- und Recovery-Prozessen im Rechenzentrum. Der ganzheitliche Schutz - etwa vor Industriespionage - wird nur selten einbezogen, kritisiert Funk.
Steigende Nachfrage nach Services
Der Markt für Security-Produkte soll in diesem Jahr um 5,1 Prozent zulegen. Für entsprechende Services prognostiziert die Experton Group ein Wachstum von 6,4 Prozent. Vor allem Wartungs- und Support-Services sind gefragt: 54 Prozent der Befragten greifen hier auf externe Anbieter zurück. Es folgen Beratung (43 Prozent), Implementierungs- und Integrationsdienste (39 Prozent) sowie Schwachstellen-Audits (38 Prozent).
Jedes dritte Unternehmen lagert Aufgaben im Rahmen von Managed Security Services (MSS) aus, um die eigenen Mitarbeiter zu entlasten und Transparenz und Qualität zu steigern. Typische Aufgaben sind hier das Firewall-, Messaging- und VPN-Management mit Fokus auf Fernüberwachung (Remote Monitoring) und der Verwaltung von Systemen, die im Rechenzentrum des Anwenders betrieben werden. Dagegen haben bislang nur zehn Prozent der Firmen das Hosting an einen externen Dienstleister übergeben. "Viele Anwender befürchten nach wie vor Kontrollverluste", begründet Experton-Analyst Funk. Cloud-Services oder Security-Software-as-a-Service (SaaS), also Modelle, bei denen sich der Kunde mit anderen Unternehmen eine vom Provider betriebene Plattform teilt ("Shared MSS"), nehmen sogar nur fünf Prozent der Firmen in Anspruch.