Business- und IT-Entscheider nicht immer einer Meinung

IT-Security muss stärker in den Business-Fokus rücken

28.04.2016
Von 


Simon Hülsbömer betreut als Senior Project Manager Research Studienprojekte in der IDG-Marktforschung. Zuvor verantwortete er als Program Manager die Geschäftsentwicklung und die Inhalte des IDG-Weiterbildungsangebots an der Schnittstelle von Business und IT - inhaltlich ist er nach wie vor für das "Leadership Excellence Program" aktiv. Davor war er rund zehn Jahre lang als (leitender) Redakteur für die Computerwoche tätig und betreute alle Themen rund um IT-Sicherheit, Risiko-Management, Compliance und Datenschutz.
IT- und Sicherheitsverantwortliche in Unternehmen weltweit tun sich immer noch schwer, das Thema IT-Security in den Köpfen ihrer Vorstände zu verankern.

Zu diesem Schluss kommt die Studie "The cyber-chasm" von "The Economist" in Zusammenarbeit mit VMware, für die weltweit 1100 C-Level-Entscheider und Security-Verantwortliche aus Unternehmen mit mehr als 500 Millionen Dollar Umsatz befragt wurden. Obwohl medial und auch beratungsstrategisch immer präsenter, steht IT-Security bei Business-Entscheidern nach wie vor nur im Mittelfeld der Prioritätenliste - entsprechend niedrig ist das Wachstum der Security-Budgets in den Unternehmen.

Vielen Business-Entscheidern ist gleichwohl bewusst, dass neben Entwicklungen wie Cloud oder ByoD besonders die unterfinanzierte IT-Security und die schnell wachsende Bedrohungslandschaft eine Gefahr für ihr Unternehmen darstellen. Fast ein Drittel der Befragten ist dieser Auffassung. Schlecht ausgebildete oder unvorsichtige Mitarbeiter bereiten jedem vierten Manager ebenso Kopfschmerzen. Diese Sorgen sind aber noch lange kein Grund, dem Thema IT-Sicherheit mehr Aufmerksamkeit oder gar Geld zukommen zu lassen - im Gegenteil, in den Augen von C-Level-Entscheidern frisst die Bedrohung durch Cyber-Angriffe schon jetzt viel zu viel Zeit (bestätigen 54 Prozent der Befragten) und mindert die Effizienz der Mitarbeiter (46 Prozent).

Ganz anderer Auffassung sind da naturgemäß die Security-Verantwortlichen, die die beiden letztgenannten Auffassungen maximal zur Hälfte teilen. Einig sind sie sich mit ihren Chefs darüber, dass sich die Bedrohungslage schneller verändert, als ihr Unternehmen reagieren kann.

Business Enabler IT

Einerseits einer Meinung, andererseits aber doch noch ziemlich weit auseinander - so lässt sich das Verhältnis des C-Levels zu seinen Security-Experten wohl am besten umschreiben. Es krankt nach Auffassung der Studienautoren vor allem an der Kommunikation seitens der IT- und IT-Security-Verantwortlichen - CIOs und CISOs, die es zu großen Teilen noch immer nicht geschafft haben, IT-Sicherheit als elementaren Bestandteil in den Köpfe ihrer Vorstände zu etablieren. "Wir können diese Entwicklung erst verändern, wenn die IT zum Business Enabler wird", kommentiert VMwares-Deutschlandchefin Annette Maier im CIO-Gespräch.

Annette Maier fordert, die IT wesentlich stärker als Business Enabler zu betrachten.
Annette Maier fordert, die IT wesentlich stärker als Business Enabler zu betrachten.
Foto: AlexSchelbert.de

Aber auch die CEOs, COOs oder CFOs haben noch Hausaufgaben zu erledigen: "Das C-Level muss verstehen lernen, wo die Risiken und Schwachstellen ihres Business‘ liegen und wie sich die Bedrohungslage verändert", heißt es in dem Report. "Ich empfehle allen Business-Entscheidern, die gestiegene Bedeutung der IT-Sicherheit als Kulturwandel zu begreifen - Sie müssen zu der Auffassung kommen, dass Security in Ihrem Unternehmen eine Top-Priorität einnimmt", appelliert Joe Baguley, CTO bei VMware EMEA, an die Manager. Den CIOs rät er: "Betrachten Sie IT-Security als Hauptanliegen - egal, in welcher Branche Sie tätig sind." Und für Security-Verantwortliche gelte: "Werdet Partner des Managements und redet miteinander."