IT-Security oder physische Sicherheit?

Bei vielen IT-Verantwortlichen, gerade im Mittelstand, gibt es immer noch große Sicherheitsbedenken gegenüber der Hosting- und Cloud-Nutzung, weswegen sie bestimmte Lösungen lieber in Eigenregie realisieren. Leider ist dieser Weg oft zu kurz gedacht: In der Regel erreichen sie nicht die hohen Sicherheitsstandards professioneller Rechenzentren, die im Rahmen von Hosting- und Cloud-Lösungen auch umfassende Anforderungen an die physische Sicherheit abdecken. Dafür sind die Investitionen in vergleichbar hochwertige Gebäudesicherheit inklusive Personal für viele mittelständische Unternehmen oft schlichtweg zu teuer.

Physische Bedrohungen sind für Unternehmen genauso real – und vor allem ähnlich gefährlich und kostenintensiv – wie Cyberattacken. Angesichts aktueller Bundestags-APTs und immer neuer NSA-Skandale hat sich die Awareness in Sachen IT-Security bei den bundesdeutschen Unternehmen zwar nachhaltig verbessert. Laut Bitkom-Studie aus dem Jahr 2014 haben 36 Prozent der Unternehmen ihre IT-Sicherheit optimiert. Immerhin zwei Drittel dieser Unternehmen haben in organisatorische Verbesserungen, beispielsweise Rechtemanagement oder Zugriffsbeschränkungen investiert. Auf der anderen Seite gibt es in den wenigsten Unternehmen ein funktionierendes Informationsmanagement (ISMS), das ja Aspekte aus beiden Welten vereint. Das kürzlich verabschiedete IT-Sicherheitsgesetz fordert allerdings genau das.

Dabei ist es nicht einmal so, dass Unternehmen nicht beide Themen bewusst wären. In der Regel kümmert sich die IT-Abteilung um die IT-Sicherheit und das Sicherheitspersonal beziehungsweise das Facility-Management um physische Sicherheitseinrichtungen wie die Gebäudesicherheit. Das Problem ist eher das Zusammenspiel beider Instanzen. Die klassische „Gewaltenteilung“ ist historisch gewachsen, die Expertenprofile unterscheiden sich aufgrund jahrzehntelanger Praxis.