Vorkommnisse wie die Hacker-Angriffe auf prominente US-Websites verdeutlichen die Wichtigkeit des Themas Sicherheit gerade in Zeiten des Internet. Dennoch wird dieses Problem hierzulande vielerorts noch wenig beachtet, wie die Studie "Kosten und Nutzen der IT-Sicherheit" belegt, die die Unternehmens- und Informations-Management-Consultants (UIMC) Dr. Voßbein im Auftrag des BSI verfasst haben.
Sie kommt unter anderem zu dem Ergebnis, dass lediglich 35 Prozent der im Rahmen der Untersuchung befragten Unternehmen behaupteten, ein festes Budget für DV-Sicherheit zu haben. "Das sollte uns zu denken geben", kommentiert UIMC-Berater Heiko Haaz, denn diese Firmen wenden unterm Strich dennoch geschätzte 11,2 Prozent ihrer gesamten IT-Ausgaben - durchschnittlich 5,8 Millionen Mark - für Sicherheitsmaßnahmen auf. Diejenigen Anwender, die ein festes Sicherheitsbudget haben, investieren im Durchschnitt 3,6 Millionen Mark in diesen Posten - das sind 6,4 Prozent des IT-Budgets. 57 Prozent der antwortenden Unternehmen haben pro Arbeitsplatz nicht mehr als 200 Mark für den Einsatz von Sicherheitsprodukten ausgegeben.
Dabei ist der Schutz der IT vor Angriffen sehr wichtig, können in Schadensfällen Unternehmen doch enorme Kosten enstehen. Vor allem die Bereiche Software und Daten sind anfällig: So muss laut Studie eine Firma im Schnitt übers Jahr 222000 Mark zur Fehlerbeseitigung und Wiederherstellung der Funktionstüchtigkeit ihrer Systeme aufwenden - ist die Hardware betroffen, fallen mit etwa 55000 Mark weitaus geringere Summen an.
Unter der mangelnden Sicherheit leiden jedoch nicht nur einzelne Firmen, sondern die gesamte Wirtschaft. So werden der BSI-Studie zufolge in Deutschland pro Jahr Schäden in einer Gesamthöhe von etwa 75 Millionen Mark gemeldet. Da Sicherheitsverluste aber immer auch einen Imageschaden nach sich ziehen, liegt die Dunkelziffer weitaus höher. Das Bundeskriminalamt etwa geht davon aus, dass die tatsächliche Schadenssumme mindestens 300 Milliarden Mark beträgt.
Peter Welzel, Professor an der Universität Augsburg mit Fachschwerpunkt Ökonomie der Informationsgesellschaft, kritisierte bei der Vorstellung der Studie diese Aussagen. Doch obwohl die in der Erhebung genannten Fälle "oft schief verteilt" sind, wodurch sich ein "lückenhaftes Bild aus nicht unbedingt passgenauen Mosaiksteinen" ergebe, kommt auch er zu dem Schluss, dass die fehlende IT-Sicherheit ein "gesamtwirtschaftlich bedeutendes Thema" ist.
Würden sich Unternehmen besser schützen, ließen sich wirtschaftliche Schäden verhindern. Für ein mittelgroßes Unternehmen (mit 300 auf mehrere Standorte verteilten Mitarbeitern) mit hohem Sicherheitsniveau beziffert die BSI-Studie beispielsweise den nötigen Aufwand auf ungefähr 400000 Mark pro Jahr. In dieser Summe enthalten sind einmalige Kosten, etwa für die Anschaffung einer Firewall, aber auch jährlich anfallende Kosten etwa für Wartungsarbeiten oder Lizenzgebühren.
Frank Dietrich, Leiter Vertrieb bei Guardian IT, bestätigt die Studienergebnisse. So berichtet er aus der Praxis seines Unternehmens, dass nur wenige Firmen hierzulande eine umfassende IT-Sicherheitsstrategie besitzen. Der Manager sieht dies als ein Mentalitätsproblem deutscher Anwender, bei denen "das Thema Sicherheit noch nicht so zum IT-Alltag gehört wie anderswo". In den Nachbarländern sehe dies besser aus.
Reinhard Voßbein, Seniorpartner von UIMC, fordert ein stärkeres IT-Sicherheits-Controlling in deutschen Unternehmen. Es sei notwendig, ein eigenes IT-Sicherheitsbudget einzurichten und die für den Bereich Security anfallenden Kosten und möglichen Schäden zu erfassen, um eine sinnvolle Abwehrstrategie und Kosten-Nutzen-Analyse erarbeiten zu können.
Abb.: Über die Hälfte aller Unternehmen gibt nicht mehr als 200 Mark pro Arbeitsplatz für Sicherheit aus. Quelle: UIMC/BSI