MÜNCHEN (COMPUTERWOCHE) - Angesichts der Bemühungen um die viel diskutierte Sox-Compliance (Sarbanes-Oxley) kommen Investitionen in die Informationssicherheit zu kurz. Davon geht das Information Security Forum (ISF) aus, dem unter anderem Metlife, Citigroup, Electronic Data Systems und Safeways angehören. Nach einem Bericht des internationalen Verbands rechnen viele ISF-Mitglieder damit, gut zehn Millionen Dollar für die Einrichtung der gemäß Sox vorgeschriebenen IT-Security-Kontrollen ausgeben zu müssen. Für die Informationssicherheit wesentliche Aspekte wie Business Continuity und Disaster Recovery würden von Sox allerdings so gut wie ignoriert, warnt das ISF. Wichtig sei es daher, Compliance in eine umfassendere IT-Sicherheits- und Corporate-Governance-Strategie einzubetten.

Nach Meinung von ISF-Berater Andy Jones besteht zudem die Gefahr, dass Sox die ganze Aufmerksamkeit auf sich ziehe und von dringlicheren Sicherheitsbedrohungen ablenke. "Sox darf nicht dazu führen, dass Organisationen einen Compliance- anstelle eines Risiko-orientierten Ansatzes verfolgen, der letztendlich die Informationssicherheit aufs Spiel setzt", so Jones. (kf)