Thought Leadership
Die IT-Sicherheit und IT-Compliance steht bei Institutionen im deutschsprachigen Raum hoch im Kurs: 75 % bzw. 59 % bewerten deren Bedeutung als hoch bis sehr hoch.
Die Mehrheit der Institutionen gehen auch künftig von einer steigenden Bedeutung von IT-Sicherheit und IT-Compliance aus, beschäftigen aber derzeit maximal fünf Mitarbeiter in diesen Bereichen. Neben mehr finanziellen Mitteln ist damit auch mehr qualifiziertes Personal erforderlich (siehe Abbildung 1). Eklatant ist, dass die Bereiche IT-Sicherheit und IT-Compliance nur in durchschnittlich 7 % der Unternehmen sehr gut umgesetzt sind. Dies zeigt eine Diskrepanz zwischen der Bedeutung und der Umsetzungsqualität in den Institutionen.
Dies sind wesentliche Ergebnisse der Studie IT-Sicherheitsstandards und IT-Compliance, die 2010 zum ersten Mal durchgeführt wurde und mit 294 gültigen Datensätzen zu einer der größten ihrer Art zählt. Die Studie wurde von ibi research in Zusammenarbeit mit dem SecuMedia Verlag und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) durchgeführt.
Abbildung 1: Optimierungshemmnisse in den Bereichen IT-Sicherheit und IT-Compliance
Basis: Ø 282 Studienteilnehmer, Mehrfachnennung möglich
Zur Umsetzung von Gesetzen/Regularien und Standards/IT-Frameworks bedienen sich die meisten Institutionen fremdentwickelter Software und gewinnen dadurch signifikante Effektivitäts- und Effizienzvorteile. 41 % setzen noch keine Software ein. Diese Gruppe fordert mehr Funktionsumfang und Bedienerfreundlichkeit von Softwarelösungen sowie bessere Anbindungs- und Anpas-sungsmöglichkeiten an betriebliche Prozesse. Zudem wird ein niedrigerer Preis gefordert (siehe Abbildung 2).
Abbildung 2: Mängel von Standardsoftware
Basis: Ø 167 Studienteilnehmer, Mehrfachnennung möglich
Insgesamt lassen sich nur sehr wenige Institutionen nach ISO 27001 auf Basis von IT-Grundschutz oder nach ISO/IEC 27001 zertifizieren. Gut die Hälfte der Studienteilnehmer greift zur Vorbereitung der Zertifizierung auf externe Partner zurück. 80 % waren mit diesen Partnern zufrieden.
Durch den Einsatz von Software zur Zertifizierung nach ISO/IEC 27001 erzielen die Institutionen im Allgemeinen eine bessere Umsetzungsqualität der Maßnahmen und Kontrollziele. Am häufigsten wird das GSTOOL des Bundesamtes für Sicherheit in der Informationstechnik eingesetzt. Trotzdem gaben 22 % der Befragten an, mit dieser Software Probleme zu haben.
Institutionen, die bereits eine Rezertifizierung durchgeführt haben, verzeichnen einen geringeren Zeitaufwand gegenüber der Erstzertifizierung. Allerdings führten bisher 86 % noch keine Rezertifizierung durch und mehr als zwei Drittel wollen das auch künftig nicht tun. Hauptgründe hierfür sind nach Meinung der Studienteilnehmer der immer noch zu hohe Zeitaufwand, die anfallenden Kosten sowie die Störung des Betriebsablaufs.
Abbildung 3: Punkte, die bei der Rezertifizierung stören
Basis: 13 Studienteilnehmer, Mehrfachnennung möglich
Positive Effekte des IT-Compliance Managements sind eine höhere Transparenz, die Optimierung von Betriebsprozessen und die Reduzierung der Komplexität der IT-Infrastruktur. Mehr als die Hälfte ist der Meinung, dass die aktuellen gesetzlichen Regelungen bezüglich des Datenschutzes inhaltlich ausreichend sind. Bei fast 70 % der Studienteilnehmer nimmt die Umsetzung der Datenschutzgesetze die meiste Zeit in Anspruch. Auffallend ist, dass nur ein Fünftel der Studienteilnehmer umfassende Datenschutzaudits gemäß § 9 des Bundesdatenschutzgesetzes (BDSG) durchgeführt hat. Die Umsetzung der Anforderungen des BDSG wird dennoch als qualitativ gut bewertet.
Weitere Informationen stehen Ihnen unter www.ibi.de zur Verfügung.
