Druck durch Compliance und Rechtsvorschriften wächst
Stress für die Sicherheitsaktivitäten von Unternehmen drohen auch auf der regulativen Seite. Die Anforderungen an die Compliance nehmen zu und betreffen beispielsweise den höheren Schutz von Kunden- und Mitarbeiterdaten. Zwar gibt es bislang nur wenig Länder, in denen die Exekutive systematisch die Verstöße gegen Compliance-Vorschriften verfolgt, meint Lynn-Kristin Thorenz, Director Consulting bei IDC Central Europe. Aber zum einen nehme die Zahl der Sanktionen dennoch zu, zum anderen stiege die Höhe der Strafzahlungen bei Verstößen empfindlich an.
Die zunehmenden Bedrohungen von innen und außen und der wachsende Druck von Gesetzgebung und Exekutive zwingen die Unternehmen, sich nicht nur reaktiv mit den Gefahren zu befassen, sondern strategisch, prophylaktisch, nachhaltig und als gesamtes Unternehmen.
Je größer das Unternehmen, desto eher gebe es solch ein strategisches Sicherheitsdenken, meint Peter Maucher, bei HP leitender Berater für Governance, Compliance und Informationssicherheit. Dort gebe es zudem oft bereits eigene Compliance- und Sicherheitsorganisationen, die über die Einhaltung der Sicherheitsregeln wachten. Bei mittelständischen und kleinen Unternehmen (KMU) sehe die Sache aber schon ganz anders aus. "Da ist das Thema in den Chefetagen noch nicht so richtig angekommen" meint Maucher. "Die denken immer noch, sie lebten in Deutschland auf einer Insel der Glückseligen"; wenn es jemanden treffe, dann immer den anderen.
Dabei sei gerade bei den KMUs für Angreifer richtig was zu holen: "Diese Unternehmen haben wahnsinnig viel Know-how und prägen mit ihren Patenten und Produktionsverfahren letztendlich unsere Volkswirtschaft mehr als die vergleichsweise wenigen Großunternehmen."
So pointiert sich der HP-Experte auch ausdrückt: Von einer pauschalen Bewertung der KMUs möchte Maucher nichts wissen: Wo IT nicht Kernkompetenz des Unternehmens sei, arbeiteten oft nur zwei bis acht Mitarbeiter daran, die IT-Infrastruktur am laufen zu halten. "Da gibt es keine Kapazitäten für großartige strategische Planungen."
Dazu komme, pflichtet IDC-Analysten Lynn-Kristin Thorenz bei, dass es bei Investitionen in die IT-Sicherheit schwer sei, über einen Return-on-Invest (ROI) zu diskutieren. "Solche Investitionen amortisieren sich nicht", so Thorenz. "Das ist wie bei einer Versicherung für den Fall, dass vielleicht irgendwann mal etwas passiert, und das kostet einfach Geld."