lnvestitions- und Sourcing-Gepflogenheiten

Der Untersuchung zufolge werden auf IT-Sicherheit bezogene Investitionsentscheidungen bei den hiesigen Firmen zunehmend in einem spezifischen "Buying Center" getroffen, das sich aus verschiedenen Funktionsträgern zusammensetzt. Wichtige Entscheider sind demnach Vertreter des Top-Managements und der IT-Chef ? erst mit deutlichem Abstand folgt der Verantwortliche für IT-Security. Erstaunlich häufig sind dagegen der Datenschutzbeauftragte sowie Vertreter von Fachabteilungen in den Entscheidungsprozess involviert.

Die Ausgaben für IT-Sicherheit werden in der Regel nicht mehr aus einem dedizierten Security-Budget heraus bestritten, sondern zunehmend von anderen Bereichen der IT-Organisation (in 67 Prozent der Unternehmen) sowie aus den Töpfen der Fachbereiche (29 Prozent) finanziert. Eine stimmige Koordination vorausgesetzt, erachtet Berater Funk den diesbezüglichen Dezentralisierungstrend als positiv. Nicht nur würden die Fachabteilungen den Schutzbedarf ihrer Daten und Prozesse am ehesten kennen, auch lasse sich mit Geschäftsfakten grundsätzlich besser argumentieren als mit rein technischen Kennzahlen aus der IT. Laut Experton Group machten die Security-Ausgaben in ihrer Gesamtheit im vergangenen Jahr rund 7,5 Prozent der IT-Etats aus ? Tendenz für 2007 steigend.

Bei der Wahl des Sicherheitsanbieters orientieren sich deutsche Sourcing-Verantwortliche weniger am Preis des Produkts, sondern vielmehr an der Qualität von Service und Support sowie der technischen Kompetenz. Entsprechend stehen die Anwenderunternehmen Microsoft als Sicherheitsanbieter noch skeptisch gegenüber: 58 Prozent der Umfrageteilnehmer bezweifeln, dass der Softwarekonzern dazu in der Lage ist, ihren Sicherheitsbedarf angemessen abzudecken. Nahezu ein Viertel der Firmen wiederum lehnt es kategorisch ab, die eigenen Beschaffungsüberlegungen aufgrund des Security-Engagements der Gates-Company zu verändern.

Mangelhaftes Risiko-Management

Mit Hilfe eines umfassenden IT-Risiko-Managements ist die Herausforderung, neue, für die eigene Organisation brisante Sicherheitsanforderungen möglichst schnell zu erfüllen, leichter zu stemmen. Gerade in dieser Disziplin sind die deutschen Firmen jedoch noch alles andere als firm. Die Ursachen für die diesbezüglich mangelnde Reife macht Funk an der hierzulande nach wie vor starken Technikprägung des Themas IT-Sicherheit beziehungsweise dem meist bescheidenen Mitwirken der Geschäftsführung fest. "Dies erschwert die Schaffung von Awareness für IT-Sicherheit, die Konzeption eines strategischen Risiko-Managements und den Informationsaustausch mit den Fachabteilungen", erklärt der Berater. Laut Studie führen erst 55 Prozent der Firmen punktuelle Risikoanalysen durch. Während 41 Prozent angeben, ein umfassendes Risiko-Management einschließlich regelmäßiger Risk-Assessments umzusetzen, werden Letztere nur in knapp 30 Prozent der Unternehmen gemeinsam mit den Geschäftsbereichen konzipiert.

Laut Funk tut sich die Mehrzahl der Unternehmen infolgedessen bei der Identifizierung und Priorisierung erforderlicher Sicherheitsmaßnahmen noch schwer. Einige Vorhaben konzentrierten sich primär auf das operative IT-Risk-Management mit dem Ziel, die Effizienz der Sicherheitsmaßnahmen zu überprüfen ? und eventuell Compliance-Prozesse zu unterstützen. "Was häufig fehlt, ist eine Verknüpfung mit den letztendlich zu schützenden Geschäftsprozessen und Informationen", kritisiert der Consultant. Funks persönliche Einschätzung der Studienergebnisse finden Sie hier.