IT-Sicherheit selten im Pflichtenheft

Bei der Einhaltung von Gesetzen lassen viele Unternehmen laut unserer Umfrage ohnehin »Fünfe gerade sein«. So haben nur 66,5 Prozent aller Unternehmen, die den Internet-Zugriff über verschiedene Filter ­reg­lementieren, diese Maßnahme durch eine arbeitsrechtliche Vereinbarung oder durch eine Vereinbarung mit dem Betriebsrat sauber geregelt. Auch die Organisation der elektronischen Post findet bei einem Drittel der befragten Unternehmen im rechtsfreien oder zumindest rechtslabilen Raum statt. Die Sachlage hat sich sogar seit letztem Jahr noch einmal um ein paar Prozentpunkte verschlechtert. Trotz vieler Lücken und Unkorrektheiten in puncto IT-Sicherheit, welche die IT-Security-Studie 2008 offenbart, wird die Hilfe von externen Spezialisten (deren Kompetenz gewiss nicht immer über jeden Zweifel erhaben ist, das ist wohl wahr) sehr zögernd in Anspruch genommen. Nur 23,5 Prozent der Firmen, deren Ver­treter an unserer Befragung teilnahmen, geben an, dass sie einzelne oder alle IT-Sicherheitsaufgaben an externe Dienstleister vergeben haben. Der Wert ist gegenüber dem Vorjahr noch einmal leicht gesunken. Um nicht missverstanden zu werden: Outsourcing bringt nicht per se mehr IT-Sicherheit. Ein Manko entsteht dabei nicht notwendigerweise durch die Inkompetenz oder Fahrlässigkeit des externen Dienstleisters, sondern kann auch und nicht zuletzt von der Inkompetenz des Abnehmers herrühren. Der Abnehmer der externen Leistung sollte auf gleicher Augenhöhe mit dem Lieferanten reden können, denn nicht wenige Sicherheitsentscheidungen kann ein externer Experte ohne Rücksprache mit dem Abnehmer gar nicht optimal treffen. Die Kompetenz und die Sensibilität für IT-Sicherheitsfragen sind indes bei vielen Abnehmern nicht sehr ausgeprägt. Dazu ein letztes Indiz: Auf die Frage, ob bei der Vergabe von Programmierdienstleistungen nach draußen (was ja durchaus häufig vorkommt) das Thema IT-Sicherheit im Pflichtenheft eine Rolle spiele und dessen Umsetzung später bei Abnahme des Softwarepakets auch überprüft werde, antwortet nur ein knappes Drittel (30,6 Prozent) mit »Ja«. Letztes Jahr war es immerhin noch ein echtes Drittel (33,0 Prozent). Alles in allem signalisiert die die IT-Security-Studie 2008 der InformationWeek Lücken und Versäumnisse an allen Ecken und Enden. Besorgniserregend ist, dass die Trendanalyse gegenüber 2007 in vielen Punkten ­eine Verschlechterung der ohnehin nicht ­rosigen Gesamt­situation dokumentiert.