CISO-Studie der COMPUTERWOCHE

IT-Sicherheitsbudgets steigen, es fehlt aber oft am Know-how

Simon verantwortet als Program Manager Executive Education die Geschäftsentwicklung und die Inhalte des IDG-Weiterbildungsangebots an der Schnittstelle von Business und IT. Zuvor war er rund zehn Jahre lang als (leitender) Redakteur für die Computerwoche tätig und betreute alle Themen rund um IT-Sicherheit, Risiko-Management, Compliance und Datenschutz.
Vier von fünf deutschen Unternehmen verfügen über eine IT-Sicherheits-Strategie, längst aber nicht alle auch über dezidiertes Fachpersonal. Die Security-Budgets sollen sich deshalb kurz- und mittelfristig spürbar erhöhen. Großunternehmen investieren ihr Geld dabei besonders gerne in externe Dienstleister.

Für eine aktuelle Security-Studie der COMPUTERWOCHE in Kooperation mit Cisco und dem German Chapter des Security-Fachverbands (ISC)² wurden fast 800 IT- und IT-Security-Entscheider in Deutschland befragt. Dabei ging es zum einen um die aktuelle Bedrohungslage, vor allem aber auch um die strategischen Entscheidungs- und Berichtswege im Bereich IT-Security sowie um -Budgets und Auswahlkriterien für IT-Security-Dienstleister.

Die gute Nachricht vorweg: Mehr als 80 Prozent der befragten Unternehmen verfügen über eine IT-Security-Strategie - wenn diese auch zumeist im Segment "Großunternehmen" anzusiedeln sind. Die Entwicklung und praktische Umsetzung dieser Strategie ist überwiegend Aufgabe des CIOs oder des IT-Leiters. Nicht einmal ein Fünftel der Unternehmen sieht hier den Chief Security Information Officer (CISO) oder obersten IT-Security-Verantwortlichen in der Pflicht. Das liegt aber auch daran, dass sich die Funktion des CISO bei weitem nicht in allen Unternehmen - nicht einmal allen großen - wiederfindet. Den Studienergebnissen zufolge haben nur 60 Prozent der Unternehmen dezidierte Personen oder Abteilungen, die ausschließlich und alleine für Informationssicherheit zuständig sind, selbst in Großunternehmen sind es nur drei Viertel.

Unterschiedliche Berichtswege

Erstaunlich ist der Fakt, dass der Security-Verantwortliche, so es denn einen gibt, in fast jedem zweiten Unternehmen direkt an den Geschäftsführer oder CEO berichtet und nur in jedem dritten an den CIO und IT-Leiter. Besonders in Großunternehmen führt der unmittelbare Berichtsweg zunehmend häufiger auch zum Finanzvorstand/CFO.

Wenn die internen Ressourcen fehlen, werden externe oder zumindest mehr finanzielle Mittel benötigt - und das spiegelt sich auch in den Ergebnissen der Befragung wider: Vier von fünf Unternehmen möchten mehr Geld in den IT-Security-Bereich stecken - knapp jedes dritte wird in den nächsten zwölf Monaten das Budget hierfür definitiv erhöhen. Nur rund drei Prozent der Unternehmen möchte auf weitere Investitionen verzichten, weil sie sich als "ausreichend geschützt" einschätzen.

80 Prozent der von uns befragten deutschen Unternehmen würden gerne mehr Geld in den IT-Security-Bereich investieren - knapp jedes dritte wird in den nächsten zwölf Monaten das Budget hierfür definitiv erhöhen.
80 Prozent der von uns befragten deutschen Unternehmen würden gerne mehr Geld in den IT-Security-Bereich investieren - knapp jedes dritte wird in den nächsten zwölf Monaten das Budget hierfür definitiv erhöhen.
Foto: Billion Photos - www.shutterstock.com

Investitionen in externe Dienstleister und interne Trainings

Wohin fließt das Geld? Während jedes fünfte Unternehmen seine IT-Security selbst in die Hand nimmt, vertrauen vor allem Großunternehmen verstärkt auf Hilfe von außen. Zu den Gebieten, die am stärksten nachgefragt sind, gehören der Aufbau und die Pflege einer Sicherheitsarchitektur, Penetrationstests, die Evaluierung von Security-Lösungen und die (intelligente) Abwehr von Angriffen. Bei der Wahl des externen IT-Security-Anbieters legen die Unternehmen gesteigerten Wert auf technisches Know-how, ein Rechenzentrum in Deutschland und das Preis-Leistungs-Verhältnis. Auch Dinge wie Produkt- und Personenzertifizierungen, Service Level Agreements und Kundenreferenzlisten spielen bei der Anbieterwahl eine Rolle.

Und wovor fürchten sich die Unternehmen derzeit besonders? Es sind natürlich Bedrohungen von außen wie beispielsweise Ransomware. Gerade die befragten CISOs und obersten IT-Sicherheits-Verantwortlichen sehen aber im "Faktor Mensch" das größte Bedrohungsrisiko für die Organisation. Leichtsinn, Kopflosigkeit und Naivität der eigenen Mitarbeiter - explizit nicht deren Vorsatz und Boshaftigkeit - bereitet den Security-Managern Kopfzerbrechen. Investitionen in Awareness-Programme und Mitarbeitertrainings stehen entsprechend ebenfalls ganz oben auf der Budget-Agenda.

Mehr wissen? Mehr erfahren!

Detaillierte Informationen und alle Ergebnisse der Security-Studie gibt es auf dem "Cisco Executive Cyber Security Summit 2016" am 7. und 8. Dezember in Frankfurt/Main. Wenn Sie an diesem exklusiven Event für C-Level-Entscheider teilnehmen möchten, melden Sie sich bitte bei Susanne Oswald, Security Marketing Program Manager bei Cisco: Sosswald (at) cisco.com.

Die vollständige Studie wird demnächst erscheinen und ist dann im COMPUTERWOCHE-Webshop zu bekommen.