Die meisten Großunternehmen beschäftigen Verantwortliche für IT-Sicherheit. Diese Funktion ist jedoch oft nicht mit dem konzernweiten Risiko-Management verwoben, heißt es in dem Report "Global Information Security Survey 2005" von Ernst & Young. Vielmehr verfolge die IT-Security rein operational-taktische Ziele und lasse die Frage, wie ein Konzern grundsätzlich seine Risiken verringern kann, außen vor. Informationssicherheit und Risiko-Management werden hier unabhängig voneinander organisiert, es entstehen Redundanzen und Sicherheitslücken.

Weniger als ein Drittel der befragten IT-Sicherheitsverantwortlichen - Ernst & Young beruft sich auf Spezialisten aus 1300 Unternehmen weltweit - nimmt monatlich an Meetings mit Rechtsabteilungen, Compliance-Verantwortlichen, der Innenrevision oder Abteilungsleitern teil. Auch in andere Konzernentscheidungen, die beispielsweise Fragen des Urheberrechtsschutzes, Produktentwicklung, strategische Zielsetzungen oder auch Fusionen betreffen, ist weniger als die Hälfte der Sicherheitsprofis involviert. Eine der Folgen ist, dass die Security-Verantwortlichen nicht dieselben Prioritäten setzen wie diese Bereiche und zudem häufig ein anderes Verständnis davon haben, welche Systeme besonders schützenwert sind.

Der Untersuchung zufolge sind auch umgekehrt Rechtsabteilungen, Innenrevisionen und andere mit Risiko-Management befasste Bereiche selten in Fragen der IT-Sicherheit involviert. Das ist vor allem dann riskant, wenn größere Veränderungen in einem Konzern stattfinden und Aktionspläne zum Verbessern der Informationssicherheit verabschiedet werden.

Ernst & Young kritisiert, dass Sicherheitsspezialisten grundsätzlich zu viel Zeit für Routineaufgaben und das Abarbeiten von IT-Störfällen aufwenden. Unternehmen sollten hier mutiger outsourcen, damit sich Sicherheitsprofis verstärkt unternehmenskritischen Projekten zuwenden könnten. (hv)