Echte IT-Sicherheit ist vielen Firmen zu teuer

Stringentes Vorgehen

von - 02.05.2017
Viele IT-Entscheider glauben an eine stetige Verbesserung der Sicherheit.
Verzerrte Wahrnehmung: Die große Mehrheit der Entscheider geht davon aus, dass die IT-Sicherheit in ihrem Unternehmen ständig verbessert wird. Die Effizienz steht auf einem anderen Blatt.
(Quelle: NTT Security )
Der Zustand der IT-Sicherheit in vielen Unternehmen ist also desillusionierend. Eine konzertierte Aktion aller Akteure wäre wünschenswert, um die Situation zu analysieren und verbindliche Ziele zu definieren. Dazu gehören:
  • die schriftliche Festlegung der Bedeutung von IT-Sicherheit
  • die Verbesserung der Kommunikation und Abstimmung zwischen den IT-Bereichen
  • die Einrichtung einer zentralen IT-Sicherheitsabteilung und der entsprechenden Position, idealerweise eines CISOs (Chief Information Security Officer)
  • ein präzises Reporting an die C-Ebene, die ein Gefühl für die tatsächlichen Gefahren entwickeln muss. Das geht nur, wenn ihr die konkreten Fälle schwarz auf weiß vorliegen
  • eine umfassende IT-Sicherheitsschulung für Mitarbeiter
  • ein solides Budgetfundament, das weit über die gegenwärtigen Budgets hinausgehen muss.

Falsche Kostenüberlegungen

Mit den Budgets für IT-Sicherheit ist es so eine Sache: Führungskräfte geben sie oft nur widerwillig frei, weil sie einerseits den unmittelbaren Nutzen nicht begreifen, andererseits dem allgemeinen Rendite-Druck unterliegen und seit vielen Jahren die Kostensenkung im Mittelpunkt steht. In diesem Spannungsverhältnis haben die wenigsten die Spendier­hosen an. Damit sind sie aber auch Mitgestalter der Misere, denn mit knappen Sicherheitsbudgets kann die IT-Abteilung eben auch nicht zaubern. Umso wichtiger ist ein detailliertes Reporting mit den harten Zahlen über versuchte und tatsächliche Einbrüche in die IT-Infrastruktur. Leistungen müssen transparent gemacht werden.
Vielleicht müssen Führungskräfte andersherum denken: Statt sich damit zu beschäftigen, wie teuer IT-Sicherheit ist, könnten sie sich überlegen, was es kostet und welche Konsequenzen es hat, wenn die IT nicht ausreichend geschützt ist. Das kann nicht nur exorbitant viel teurer werden, sondern sehr schnell das gesamte Unternehmen gefährden. Diese rationale Sichtweise sollte in den Köpfen der Entscheider fest verankert sein.
Seite
  1. Teil: Echte IT-Sicherheit ist vielen Firmen zu teuer
  2. Teil: Daten sind nicht sicher
  3. Teil: Stringentes Vorgehen
Verwandte Themen

Mehr zum Thema