IT-Security - oft ein Fass ohne Boden

Denn sie wissen nicht, was sie tun

„Viele Unternehmen wissen mangels verwertbarer Kennzahlen gar nicht, wie effektiv ihre Investitionen in IT-Security und somit auch das Sicherheitsniveau im Betrieb sind“, erklärt Dr. Matthias Rosche, Director Consulting bei der Ismaninger Integralis Deutschland GmbH. „Es kann von einem Manager nicht verlangt werden, viel Geld für IT-Sicherheit auszugeben, ohne vernünftige Datengrundlagen für die Sinnhaftigkeit dieser Ausgaben zu haben. IT-Security als Managementaufgabe braucht dauerhafte Überwachung und ein Controlling. Um hier vernünftige Kennzahlen zu gewinnen, müssen im Grunde nur die Daten ausgewertet werden, die sowieso bereits im Unternehmen vorhanden sind“, so der Sicherheitsexperte weiter.

Auch kommt vielfach das Thema „Controlling von Compliance-Vorgaben“ in der Betrachtung zu kurz. Denn öfter als man glaubt, haben Unternehmer keine Ahnung, welche rechtlichen und regulativen Vorgaben für sie relevant sind und wie die Anforderungen daraus erfüllt werden können. „Ein sehr dünnes Eis bei Sicherheitsvorfällen und nicht ordnungsgemäßen Abläufen im Unternehmen, auf dem sich da so mancher Manager bewegt“, mahnt Johann Miller, Geschäftsführer der Integralis.