Zu dieser Erkenntnis kommt eine Studie, die im Juli 2015 von DNV GL, einer der weltweit führenden Zertifizierungsgesellschaften, und dem Marktforschungsinstitut GFK Eurisko durchgeführt wurde. 1.192 Experten von Unternehmen verschiedener Branchen in Europa, Nord-, Mittel- und Südamerika sowie Asien wurden dazu befragt. Aktuell stehen Schutz und Abwehr im Fokus.
Das Bewusstsein für das Thema ist groß. 81 % aller befragten Unternehmen betrachten Informationssicherheit als relevant für Ihre Unternehmensstrategie. Bei Unternehmen mit mehr als 250 Mitarbeitern steigt der Prozentsatz sogar auf 84 %. Auf einer Skala von 1 bis 5 (Anfänger bis Profi) schätzen sich 40 % der Unternehmen beim Management von Informationssicherheit als Fortgeschritten ein (Skala 4 und 5). Die Herangehensweisen an das Thema sind allerdings auf sehr unterschiedlichen Niveaus. Zwar haben 58 % der Unternehmen eine Ad-Hoc-Management Strategie, aber nur 27 % definieren messbare Ziele.
Schutz und Abwehr statt systematischen Managements
Unternehmen betreiben einen hohen Aufwand für Informationssicherheit. 65 % der befragten Unternehmen haben in den letzten drei Jahren in gezielte Maßnahmen investiert. Bei Unternehmen mit mehr als 250 Mitarbeitern haben 73 % in gezielte Maßnahmen investiert. Allerdings verfolgen die Unternehmen dabei noch keinen systematischen Managementansatz. Die meisten Maßnahmen konzentrieren sich auf essentielle Anforderungen an die Infrastruktur wie z.B. Investitionen in Equipment (41 %) oder auf Basis-Maßnahmen wie der Einstellung von geeignetem Personal (40 %) und Informationssicherheitskontrollen (35 %).
Ausblick: Training, Integration und systematischer Ansatz
43 % der befragten Unternehmen beabsichtigen zukünftig mehr zu investieren als heute. Dabei hat das Training der Mitarbeiter den größten Zuwachs (+13 %). Gleichzeitig sinkt der Prozentsatz bei der Einstellung von Managern für Informationssicherheit (-7 %) und von IT-Spezialisten (-9 %). Dies zeigt ein Umdenken im Umgang mit dem Thema Informationssicherheit: zukünftig wird die Verantwortung nicht allein bei einer Person oder einem Team von IT-Spezialisten liegen, sondern wird integrierter Bestandteil der Unternehmenskultur.
Einen beachtlichen Zuwachs bei den zukünftig geplanten Investitionen verzeichnen die Implementierung von Risiko-Assessments und Management-Methoden (+6 %) ähnlich wie das Definieren von Zielen (+8 %), was zeigt, dass der Trend hin zu einem systematischeren Ansatz geht.
Informationssicherheits-Managementsysteme bieten Unterstützung
„Grundsätzlich sollte in jedem Unternehmen die Informationssicherheit einen hohen Stellenwert einnehmen, um das eigene Unternehmen vor Gefahren und Bedrohungen zu schützen“, empfiehlt Guido König, IT Security Compliance Manager bei DNV GL. „Zum Management aller Prozesse, die der Informationssicherheit der Organisation dienen, eignet sich ein systematischer Ansatz wie zum Beispiel ein Informationssicherheits-Managementsystem (ISMS) nach dem internationalen Standard ISO 27001:2013“, erläutert König. „Im Gegensatz zu dem hauptsächlich in Deutschland bekannten IT-Grundschutzkatalog ist die Einführung eines ISMS nach ISO 27001 mit weniger Aufwand verbunden, bietet mehr individuellen Spielraum, fördert eine höhere Selbstverantwortung und lässt sich leicht in bestehende Managementsysteme integrieren, da der Standard die gleiche Struktur wie die neue ISO 9001:2015 und ISO 14001:2015 aufweist.
Praktische Hilfe für Unternehmen
Die Studie informiert u.a. über die größten Herausforderungen, denen Unternehmen bei der Einführung eines ISMS nach ISO 27001 begegnen. Dafür wurden die Feststellungen aus Informationssicherheitsaudits aus dem Datenbankbestand von DNV GL ausgewertet. Die Ergebnisse geben Aufschluss über die häufigsten Schwachstellen in einem ISMS und helfen Unternehmen, diese Fehler zu vermeiden. Darüber hinaus hat DNV GL zwei kostenlose Online-Werkzeuge entwickelt, die Unternehmen unterstützen sollen:
Das Bewusstsein für das Thema ist groß. 81 % aller befragten Unternehmen betrachten Informationssicherheit als relevant für Ihre Unternehmensstrategie. Bei Unternehmen mit mehr als 250 Mitarbeitern steigt der Prozentsatz sogar auf 84 %. Auf einer Skala von 1 bis 5 (Anfänger bis Profi) schätzen sich 40 % der Unternehmen beim Management von Informationssicherheit als Fortgeschritten ein (Skala 4 und 5). Die Herangehensweisen an das Thema sind allerdings auf sehr unterschiedlichen Niveaus. Zwar haben 58 % der Unternehmen eine Ad-Hoc-Management Strategie, aber nur 27 % definieren messbare Ziele.
Schutz und Abwehr statt systematischen Managements
Unternehmen betreiben einen hohen Aufwand für Informationssicherheit. 65 % der befragten Unternehmen haben in den letzten drei Jahren in gezielte Maßnahmen investiert. Bei Unternehmen mit mehr als 250 Mitarbeitern haben 73 % in gezielte Maßnahmen investiert. Allerdings verfolgen die Unternehmen dabei noch keinen systematischen Managementansatz. Die meisten Maßnahmen konzentrieren sich auf essentielle Anforderungen an die Infrastruktur wie z.B. Investitionen in Equipment (41 %) oder auf Basis-Maßnahmen wie der Einstellung von geeignetem Personal (40 %) und Informationssicherheitskontrollen (35 %).
Ausblick: Training, Integration und systematischer Ansatz
43 % der befragten Unternehmen beabsichtigen zukünftig mehr zu investieren als heute. Dabei hat das Training der Mitarbeiter den größten Zuwachs (+13 %). Gleichzeitig sinkt der Prozentsatz bei der Einstellung von Managern für Informationssicherheit (-7 %) und von IT-Spezialisten (-9 %). Dies zeigt ein Umdenken im Umgang mit dem Thema Informationssicherheit: zukünftig wird die Verantwortung nicht allein bei einer Person oder einem Team von IT-Spezialisten liegen, sondern wird integrierter Bestandteil der Unternehmenskultur.
Einen beachtlichen Zuwachs bei den zukünftig geplanten Investitionen verzeichnen die Implementierung von Risiko-Assessments und Management-Methoden (+6 %) ähnlich wie das Definieren von Zielen (+8 %), was zeigt, dass der Trend hin zu einem systematischeren Ansatz geht.
Informationssicherheits-Managementsysteme bieten Unterstützung
„Grundsätzlich sollte in jedem Unternehmen die Informationssicherheit einen hohen Stellenwert einnehmen, um das eigene Unternehmen vor Gefahren und Bedrohungen zu schützen“, empfiehlt Guido König, IT Security Compliance Manager bei DNV GL. „Zum Management aller Prozesse, die der Informationssicherheit der Organisation dienen, eignet sich ein systematischer Ansatz wie zum Beispiel ein Informationssicherheits-Managementsystem (ISMS) nach dem internationalen Standard ISO 27001:2013“, erläutert König. „Im Gegensatz zu dem hauptsächlich in Deutschland bekannten IT-Grundschutzkatalog ist die Einführung eines ISMS nach ISO 27001 mit weniger Aufwand verbunden, bietet mehr individuellen Spielraum, fördert eine höhere Selbstverantwortung und lässt sich leicht in bestehende Managementsysteme integrieren, da der Standard die gleiche Struktur wie die neue ISO 9001:2015 und ISO 14001:2015 aufweist.
Praktische Hilfe für Unternehmen
Die Studie informiert u.a. über die größten Herausforderungen, denen Unternehmen bei der Einführung eines ISMS nach ISO 27001 begegnen. Dafür wurden die Feststellungen aus Informationssicherheitsaudits aus dem Datenbankbestand von DNV GL ausgewertet. Die Ergebnisse geben Aufschluss über die häufigsten Schwachstellen in einem ISMS und helfen Unternehmen, diese Fehler zu vermeiden. Darüber hinaus hat DNV GL zwei kostenlose Online-Werkzeuge entwickelt, die Unternehmen unterstützen sollen:
- ein Internet basiertes Kurztraining zu Informationssicherheit
- eine Selbstbewertung basierend auf den wichtigsten Prinzipien eines ISMS
