Klassifizierung deutscher Unternehmen
Klassifizierung deutscher Unternehmen nach Investitionsverhalten und Maßnahme
Quelle: META Group Deutschland
Nach Schätzungen der META Group sind bei rund 70 Prozent der deutschen Unternehmen die Security-Maßnahmen als ausgesprochen punktuell und technologieorientiert zu betrachten (siehe Abbildung 1). Davon sind 30 Prozent so genannte "Techies", die zwar durchaus vorbeugend, aber primär technologieorientiert investieren. Gar 40 Prozent sind als "Hasardeure" zu bewerten, die aufgrund externer Anforderungen punktuelle Maßnahmen einleiten, aber gleichzeitig auch sicherheits-relevante Zwischenfälle in Kauf nehmen, bevor umfassendere Maßnahmen eingeleitet werden. Die restlichen 30 Prozent der Anwenderunternehmen verfügen über Ansätze eines ganzheitlichen strategischen Programms für Informationssicherheit. Nur etwa ein Drittel dieser Unternehmen geht dabei aber proaktiv vor und führt beispielsweise umfassende Risikoanalysen im Unternehmen durch.
Den ROI im Sinne des "Nutzens" begreifen
Die monetäre Bewertung des Nutzens von IT-Sicherheit ist zumeist schwierig. Für viele Bereiche der IT-Security ist der Return on Investment (ROI) schwer quantitativ nachweisbar. Nach Einschätzung der META Group besteht hier allzu leicht die Gefahr, das eigene Gewissen zu beruhigen, indem auf Basis unvollständiger und ungenauer Daten exakte ROI-Werte berechnet werden. Die META Group rät Anwenderunternehmen vielmehr zu einer pragmatischen Vorgehensweise, die den ROI im Sinne des "Nutzens" begreift. Dieser sollte als eine Kombination aus quantifizierbarem Nutzen (Einsparungen, Prozessverbesserung), quantifizierbarer Risikominimierung (sofern zuvor eine Risiko-analyse erfolgt ist) und eher subjektiv wahrgenommenen Verbesserungen der Informationssicherheit betrachtet werden. Damit lassen sich nicht zuletzt auch Sicherheitsprioritäten und –anforderungen in einzelnen Unternehmensbereichen ausloten.
Gleichwohl macht es für Anbieter von Lösungen im Einzelfall Sinn, den ROI dem Kunden gegenüber zu kommunizieren. Die ROI-Analyse sollte aber glaubwürdig und für den Kunden leicht nachvollziehbar sein; die ROI-Argumentation allein reicht für die Kaufentscheidung selten aus und sollte daher primär als zusätzliches Verkaufsargument des Anbieters dienen.
Angesichts der Entscheidungsgrundlagen bei Investitionen in IT-Sicherheit sowie den wahrgenommenen Hemmfaktoren und Sicherheits-Risiken stellt sich die Frage, ob das Sicherheitsbewusstsein in deutschen Unternehmen generell gestiegen ist. Nach Meinung der META Group muss hierzu eine differenzierte Betrachtungsweise vorgenommen werden. Da sich die Unternehmen bei Investitionsentscheidungen stark an bestehenden Erfahrungen mit Schäden orientieren, liegt hinsichtlich der "Mainstream"-Themen (z.B. Viren) heute bereits eine hohe Sensibilisierung vor. Bei neueren Themen wie etwa der Sicherheit von Web Services oder mobilen Systemen ist die "Drohkulisse" jedoch noch nicht so stark durch entsprechende Erfahrungswerte - im Sinne von nachweisbaren Schäden - untermauert. Ähnliches gilt für organisatorische Lücken, deren Auswirkungen nur indirekt nachvollziehbar sind. Zwar wird etwa das mangelnde Sicherheitsbewusstsein der unternehmensinternen Anwender als Hemmnis erkannt, Gegenmaßnahmen werden aber nur in unzureichendem Maß ergriffen. Dennoch stellen dortige Sicherheitslücken eine erhebliche Gefahr für die Anwenderunternehmen dar. Damit werden auch in Zukunft Awareness-Kampagnen auf der Agenda der Anbieter von Lösungen und Dienstleistungen stehen müssen.
| Mehr Informationen zur Studie "Storage IT-Security im Jahr 2003 - Status, Trends und Strategien" der META Group finden Sie hier... |
Weitere Kapitel
- 1. Teil: IT-Security im Jahr 2003
- 2. Teil: Klassifizierung deutscher Unternehmen
Kommentare
Bitte beachten Sie unsere Informationen zum Datenschutz.
blog comments powered by DisqusWeitere Artikel zum Thema
alle Artikel zum Thema
© 2012 FEiG & PARTNER