Firmen nehmen IT-Sicherheit nicht ernst genug (Foto: pixelio.de)

Hamburg (pte003/02.11.2007/06:20) - Die IT-Sicherheit wird in den Chefetagen deutscher Unternehmen noch immer stiefmütterlich behandelt. Die Geschäftsführer unterschätzen allerdings die Haftungsrisiken. So hat lediglich ein Drittel der deutschen Firmen ein Risikomanagement für IT-Sicherheit eingerichtet, obwohl das gesetzlich vorgeschrieben ist. Das hat die aktuelle Studie "IT-Security 2007" von InformationWeek und Steria Mummert Consulting http://www.steria-mummert.de ergeben. Demnach kommen zwar in 80 Prozent der Unternehmen bereits IT-Sicherheitslösungen zum Einsatz. Diese gehen allerdings nicht weit genug, um die gesetzlichen Vorgaben zu erfüllen. Dabei drohen den Konzernlenkern bei Nichtbeachtung empfindliche Bußgelder und Geldstrafen - schlimmstenfalls sogar Gefängnis.

In den Chefetagen der befragten Unternehmen hat die IT-Sicherheit offenbar nicht den Stellenwert, der notwendig ist, um die IT-Systeme den Gesetzesvorgaben entsprechend zu sichern, betonen die Studienautoren. Verstärkte Sicherheitsmaßnahmen werden zwar befürwortet. Geht es allerdings um eine konkrete Umsetzung, scheitern die notwendigen Projekte bei der Hälfte der Fach- und Führungskräfte oft am Vorrang des Tagesgeschäfts oder an Budgetbeschränkungen. Neben den persönlichen Folgen für die Geschäftsführung kann sich eine Vernachlässigung der IT-Sicherheit auch negativ auf das Ansehen eines Unternehmens niederschlagen.

Zu einem ähnlichen Ergebnis, was die Einschätzung der IT-Sicherheit in der Chefetage angeht, kommt der IT-Sicherheitsreport 2007, den das Netzwerk Elektronischer Geschäftsverkehr (NEG) http://www.ec-net.de veröffentlicht hat. Viele Unternehmen hätten beim IT-Sicherheitsmanagement bisher zu sehr auf technische Lösungen gesetzt. In der Führungsetage mangele es dagegen an einem Bewusstsein für die Sicherheitsproblematik (pressetext berichtete: http://www.pte.at/pte.mc?pte=070828013 ). Laut dem Report informiert die Hälfte aller Unternehmen die Angestellten überhaupt nicht über Sicherheitsfragen. Außerdem verfügen viele Firmen nicht über IT-Notfallpläne, die bei einem Virenangriff in Kraft treten könnten.

In Teilbereichen haben die Unternehmen der Studie "IT-Security 2007" zufolge die Situation aber bereits erkannt und steuern aktiv gegen. So entspricht die Organisation des E-Mail-Verkehrs in 69,2 Prozent der Betriebe schon jetzt den geltenden Regelungen. Der Mangel an Zeit und Geld wird von vielen Unternehmen durch die Auslagerung der Sicherheitsaufgaben an externe Dienstleister umgangen. In mehr als der Hälfte der befragten Unternehmen werden E-Mail, Firewall oder Virenschutz bereits komplett oder teilweise von externen Dienstleistungsunternehmen betreut.

(Ende)