Womöglich am falschen Ende gespart

Viele Unternehmen sparen laut einer Studie an der Sicherheit. Häufig würde versucht, die IT-Security anhand von Key Performance Indicators (KPIs) zu messen, also an Kostenfaktoren. Allerdings sei dies nicht exakt möglich. Steria Mummert Consulting und Pierre Audoin Consultants, die Auftraggeber der Studie, leiten daraus ab, dass Unternehmen deshalb am falschen Ende sparen könnten.

Sicherheit wird quantifiziert

94 Prozent aller befragten Unternehmen messen die Effektivität ihrer IT-Sicherheitsprojekte anhand von KPIs. Viele Firmen nutzen hierzu quantitative Kriterien: 39 Prozent erfassen etwa die Reaktionszeit ab dem Eintreten eines Sicherheitsproblems.

Ein Drittel aller Firmen misst zusätzlich die Zeitdauer bis eine kritische Sicherheitslücke geschlossen wird. Die Messung von IT-Sicherheit auf Projektebene ist demgegenüber bereits deutlich niedriger ausgeprägt, teilten die Autoren schriftlich mit.

Am falschen Ende gespart

Hingegen bewertet weniger als die Hälfte der Unternehmen Sicherheitsmassnahmen unter Sicherheitsaspekten. Allein auf Basis des Kosten-Kriteriums könnten Unternehmenscontroller im Ausbleiben von Sicherheitsvorfällen eine Gelegenheit sehen, Mittel für Sicherheitsmassnahmen einzusparen, schreiben die Autoren weiter.

Entsprechend werde es schwierig, wenn Entscheider nach der Maxime verfahren "Wir stellen keine Sicherheitsprobleme fest, also können wir an der IT-Security sparen", warnt Gerald Spiegel, Leiter Information Security Solutions bei Steria Mummert Consulting.

Über die Studie

Steria und Pierre Audoin Consultants befragten für Ihre Untersuchung 270 Entscheider in KMU und Grossunternehmen verschiedener Branchen. Im Mittelpunkt standen der Untersuchung standen Lösungsstrategien und -modelle, mit denen die Unternehmen heute und in den nächsten drei Jahren auf IT-Gefahren reagieren wollen.