Informationssicherheit: Zukünftig mehr systematisches Management

Das Bewusstsein für das Thema ist groß. 81 Prozent aller befragten Unternehmen betrachten Informationssicherheit als relevant für Ihre Unternehmensstrategie. Bei Unternehmen mit mehr als 250 Mitarbeitern steigt der Prozentsatz sogar auf 84 Prozent. Auf einer Skala von 1 bis 5 (Anfänger bis Profi) schätzen sich 40 Prozent der Unternehmen beim Management von Informationssicherheit als Fortgeschritten ein (Skala 4 und 5). Die Herangehensweisen an das Thema sind allerdings auf sehr unterschiedlichen Niveaus. Zwar haben 58 Prozent der Unternehmen eine Ad-Hoc-Management Strategie, aber nur 27 Prozent definieren messbare Ziele.

Schutz und Abwehr statt systematischen Managements

Unternehmen betreiben einen hohen Aufwand für Informationssicherheit. 65 Prozent der befragten Unternehmen haben in den letzten drei Jahren in gezielte Maßnahmen investiert. Bei Unternehmen mit mehr als 250 Mitarbeitern haben 73 Prozent in gezielte Maßnahmen investiert. Allerdings verfolgen die Unternehmen dabei noch keinen systematischen Managementansatz. Die meisten Maßnahmen konzentrieren sich auf essentielle Anforderungen an die Infrastruktur wie z.B. Investitionen in Equipment (41 Prozent) oder auf Basis-Maßnahmen wie der Einstellung von geeignetem Personal (40 Prozent) und Informationssicherheitskontrollen (35 Prozent).

Ausblick: Training, Integration und systematischer Ansatz

43 Prozent der befragten Unternehmen beabsichtigen zukünftig mehr zu investieren als heute. Dabei hat das Training der Mitarbeiter den größten Zuwachs (+13 Prozent) Gleichzeitig sinkt der Prozentsatz bei der Einstellung von Managern für Informationssicherheit (- sieben Prozent) und von IT-Spezialisten (- neun Prozent). Dies zeigt ein Umdenken im Umgang mit dem Thema Informationssicherheit: zukünftig wird die Verantwortung nicht allein bei einer Person oder einem Team von IT-Spezialisten liegen, sondern wird integrierter Bestandteil der Unternehmenskultur.

Einen beachtlichen Zuwachs bei den zukünftig geplanten Investitionen verzeichnen die Implementierung von Risiko-Assessments und Management-Methoden (+ sechs Prozent) ähnlich wie das Definieren von Zielen (+ acht Prozent), was zeigt, dass der Trend hin zu einem systematischeren Ansatz geht.

Informationssicherheits-Managementsysteme bieten Unterstützung

„Grundsätzlich sollte in jedem Unternehmen die Informationssicherheit einen hohen Stellenwert einnehmen, um das eigene Unternehmen vor Gefahren und Bedrohungen zu schützen“, empfiehlt Guido König, IT Security Compliance Manager bei DNV GL. „Zum Management aller Prozesse, die der Informationssicherheit der Organisation dienen, eignet sich ein systematischer Ansatz wie zum Beispiel ein Informationssicherheits-Managementsystem (ISMS) nach dem internationalen Standard ISO 27001:2013“, erläutert König. „Im Gegensatz zu dem hauptsächlich in Deutschland bekannten IT-Grundschutzkatalog ist die Einführung eines ISMS nach ISO 27001 mit weniger Aufwand verbunden, bietet mehr individuellen Spielraum, fördert eine höhere Selbstverantwortung und lässt sich leicht in bestehende Managementsysteme integrieren, da der Standard die gleiche Struktur wie die neue ISO 9001:2015 und ISO 14001:2015 aufweist.“

Praktische Hilfe für Unternehmen

Die Studie informiert u.a. über die größten Herausforderungen, denen Unternehmen bei der Einführung eines ISMS nach ISO 27001 begegnen. Dafür wurden die Feststellungen aus Informationssicherheitsaudits aus dem Datenbankbestand von DNV GL ausgewertet. Die Ergebnisse geben Aufschluss über die häufigsten Schwachstellen in einem ISMS und helfen Unternehmen, diese Fehler zu vermeiden. Darüber hinaus hat DNV GL zwei kostenlose Online-Werkzeuge entwickelt, die Unternehmen unterstützen sollen:

• ein Internet basiertes Kurztraining zu Informationssicherheit
• eine Selbstbewertung basierend auf den wichtigsten Prinzipien eines ISMS