Die gute Nachricht: Kennzahlensysteme, um Sicherheitsbedrohungen zu erkennen und Schutzmaßnahmen zu optimieren, sind unterdessen bei der großen Mehrheit der europäischen Unternehmen die Regel. "Die meisten Unternehmen, die wir betrachtet haben, sind auf einem guten Weg", sagt Gerald Spiegel, Leiter Information Security Solutions bei Steria Mummert Consulting.

In Zusammenarbeit mit dem Beratungs- und Analystenhaus Pierre Audoin Consultants (PAC) hat Steria Mummert 270 europäische Unternehmen zum Thema IT-Sicherheit befragt. Danach messen 94 Prozent bereits heute die Effektivität ihrer IT-Sicherheitsanstrengungen anhand formeller KPIs. Viele nutzen dabei quantitative Kriterien: 39 Prozent erfassen beispielsweise die Reaktionszeit ab dem Eintreten einer Security-Krise. Immerhin noch ein Drittel aller Firmen misst daneben die Zeit, die vergeht, bis eine kritische Sicherheitslücke geschlossen wird.

Allerdings stehe die Kontrolle der Ausgaben für IT-Sicherheit bei vielen Firmen noch im Mittelpunkt ihrer KPI-Systeme (Key Performance Indicator). Die Gefahr sei deshalb groß, dass europäische Firmen hier am falschen Ende sparten. Denn die Unternehmen messen die Wirkung von IT-Sicherheit in erster Linie unter Kostenaspekten. Mehr als die Hälfte der befragten Firmen nutzt als KPI für die Effektivität von Security-Prozessen die Ausgabendisziplin.

Weniger als die Hälfte der Unternehmen bewertet dagegen die Sicherheitsmaßnahmen unter Sicherheitsaspekten. Allein auf Basis des Kostenkriteriums könnten Unternehmens-Controller aus dem Ausbleiben von Sicherheitsvorfällen falsche Schlüsse ziehen und eine Gelegenheit zum Einsparen von Mitteln für Sicherheitsmaßnahmen sehen. Wohl oft eine falsche Einschätzung, denn gerade diese Ausgaben könnten der Grund dafür sein, dass Cyberangriffe an dem Unternehmen abprallen.

Dennoch findet Sicherheitsexperte Spiegel von Steria Mummert lobende Worte für die IT-Sicherheitsverantwortlichen: "Die Mehrzahl der Unternehmen will nicht nur wissen, ob ihre IT-Sicherheit funktioniert, sondern nutzt Messkriterien, die eine Aussage zulassen, an welcher Stelle sich Security-Prozesse verbessern lassen". Schwierig werde es nur, wenn Entscheider nach der Maxime verfahren "wir stellen keine Sicherheitsereignisse fest, also können wir an Sicherheitsmaßnahmen sparen." Damit begäben sie sich auf ein gefährliches Terrain.

In Zusammenarbeit mit dem Beratungs- und Analystenhaus Pierre Audoin Consultants (PAC) hat Steria Mummert 270 Entscheider in Konzernen und mittelständischen Unternehmen verschiedener Branchen in Deutschland, Frankreich, England und Norwegen befragt. Im Mittelpunkt der Befragung standen Lösungsstrategien und -modelle, mit denen die Unternehmen aktuell und in den kommenden drei Jahren auf IT-Gefahren reagieren. 72 der Unternehmen kamen aus Deutschland.