Zielvorgaben im Sicherheitsmanagement werden kaum überprüft
Studie zeigt Mängel beim Security-Reporting
In der Studie "IT-Sicherheit organisieren, kontrollieren" des Bremer Sicherheitsspezialisten Ampeg gaben nur etwas weniger als die Hälfte der befragten Sicherheitsverantwortlichen an, regelmäßig die tatsächliche Leistung der Schutzsysteme im Unternehmen mit den eigenen Zielvorgaben abzugleichen. In vielen Unternehmen dauert es durchschnittlich mehr als 19 Stunden, um das aktuelle Security-Level festzustellen, also die Informationen aus den verteilten Sicherheitslösungen zu aggregieren, zu normalisieren und aussagekräftig aufzubereiten.
In etwa 70 Prozent der Unternehmen werden Auswertungen durchgeführt, die aufzeigen, ob sich der IT-Schutz kontinuierlich verbessert. Doch nur etwas weniger als die Hälfte prüft regelmäßig, ob die erbrachten Leistungen der Sicherheitssysteme im Rahmen konkreter Zielvorgaben liegen, etwa unter bestimmten Grenz- oder Schwellenwerten. Dabei ist sich eine überwiegende Mehrheit (88,4 Prozent) der Befragten einig, dass Transparenz in Bezug auf den Status der Sicherheitssysteme ein Schlüssel zu deren kontinuierlicher Verbesserung ist.
Nur etwas unter vier Prozent der befragten Unternehmen verfügen über eine permanente Übersicht über ihre installierten Systeme. Alle anderen müssen für Reports gezielt Daten sammeln und aufbereiten. Unternehmen, die verhältnismäßig lange dafür brauchen, sich einen Überblick über den Status aller eingesetzten Sicherheitssysteme zu verschaffen und diesen für aussagekräftige Reports aufzubereiten, verzichten eher auf einen Abgleich von Soll-/Ist-Werten. Diese Gruppe benötigt im Durchschnitt 24,2 Stunden für einen vollständigen Report, im Vergleich zu etwa 17 Stunden bei den "Soll-/Ist-Abgleichern".
Geht es nicht um die Vorbereitung eines lang im Voraus geplanten Status-Meetings, sondern müssen auf Anfrage hin spontan Informationen über eine der Sicherheitskomponenten recherchiert werden, so gelingt dies den meisten Unternehmen (40,3 Prozent) in weniger als 30 Minuten. Mehr als 20 Prozent brauchen aber zwischen zwei und fünf Stunden, immerhin noch fast acht Prozent zwischen sechs und zehn Stunden. Das ist zu viel, wenn unmittelbare Abwehrmaßnahmen gefragt sind.
Für die Befragung wandte sich Ampeg an leitende IT-Sicherheitsverantwortliche bei 600 der größten Unternehmen in Deutschland (bezogen auf die Anzahl der Standorte / PC-Arbeitsplätze). 77 Interviews kamen zustande und bilden die Basis für die Auswertung. Dabei zeigte sich auch: Je größer ein Unternehmen ist, desto mehr investiert es allerdings in IT-Sicherheit. Fast zwei Drittel aller Firmen mit 1000 bis 5000 PC-Arbeitsplätzen setzen IT-Sicherheitslösungen von mehr als drei Herstellern zum Schutz vor Viren, Spam und anderen Bedrohungen ein.
LANline/wj
Lesen Sie mehr zum Thema
