Security meist Sache der IT

Auch eine dedizierte Funktion für die IT-Sicherheit leisten sich bislang vorrangig große Konzerne: Lediglich 13,4 Prozent der befragten Firmen haben einen CISO (Chief Information Security Officer), der in den meisten Fällen direkt an den Vorstand berichtet. In mehr als jedem zweiten Unternehmen trägt dagegen der CIO oder IT-Leiter die übergeordnete Verantwortung für die IT-Sicherheit - ein organisatorisches Manko, meint Analyst Funk: "Die Folge ist meist eine rein technische Sicht, die zudem Sachzwängen wie Kosten und Systemleistung untergeordnet wird." Darüber hinaus leide die Kommunikation zwischen dem IT-Sicherheitsverantwortlichen und dem Management beziehungsweise den Fachbereichen, was dazu führe, dass Ersterer Anforderungen nur schwer durchsetzen könne.

Kontinuierliche Prozesse fehlen

Entsprechend wenig detailliert sind die firmeninternen IT-Sicherheitsprogramme. Eine diesbezügliche Strategie haben zwar alle befragten Verantwortlichen einmalig formuliert. Ein formelles ISMS (Information- Security-Management-System) als kontinuierlicher Prozess ist aber längst nicht selbstverständlich, wie die Umfrage zeigt. Ähnlich schwer tun sich die Anwender bei der Förderung des IT-Sicherheitsbewusstseins sowie in Sachen Datenschutz. Vor allem die Klassifizierung der Daten wird laut Funk vielerorts vernachlässigt.