Management von IT-Sicherheit und IT-Compliance wird selten optimal umgesetzt

Entscheider unterschätzen den Nutzen von Spezialsoftware

(02.12.10) - Deutsche Unternehmen messen dem Management von IT-Sicherheit und IT-Compliance auf Basis anerkannter Standards eine hohe Bedeutung zu, aber an der Umsetzung hapert es. So ein Ergebnis der Studie "IT-Sicherheitsstandards und IT-Compliance 2010", die von ibi Research an der Universität Regensburg veröffentlicht wurde. Nur sieben Prozent der Befragten bewerten darin ihren Erfüllungsgrad mit "sehr gut". In vielen Unternehmen mangelt es an Personal und geeigneter Software. Die Governance, Risk und Compliance-Experten von DB3 sind davon überzeugt, dass sich mehr Unternehmen für professionelle Lösungen entscheiden würden, wenn die Nutzen-betrachtung im Entscheidungsprozess eine größere Rolle spielen würde. Management-Software schafft Transparenz und Effizienz, Unternehmen arbeiten damit strukturierter.

Laut der Studie verzichten 41 Prozent der befragten Unternehmen auf Spezial-Software für das IT-Compliance Management. Als Gründe dafür gaben die Teilnehmer an, dass sie sich einen größeren Funktionsumfang sowie mehr Anpassungsfähigkeit und Benutzerfreundlichkeit zu einem günstigeren Preis wünschen. Die Anschaffungs- und Anpassungskosten werden von über der Hälfte der Befragten als größte Hürde für die Einführung einer solchen Spezial-Software genannt.

Lesen Sie zum Thema "Compliance" auch: Compliance-Magazin.de (www.compliancemagazin.de)

Nutzen wiegt Kosten auf

Die Studie zeigt ganz deutlich, dass Institutionen, die eine auf die Anforderungen des IT-Sicherheit- und IT-Compliance-Managements zugeschnittene Software einsetzen, signifikante Effektivitäts- und Effizienzvorteile verwirklichen können. So ergeben sich laut Einschätzung der Befragten bei der Zertifizierung nach ISO/IEC-27001 oder ISO 27001 auf Basis von IT-Grundschutz mit Unterstützung einer Spezial-Software in den allermeisten Fällen bessere Ergebnisse als ohne. "Auch wir machen immer wieder die Erfahrung, dass unsere Kunden im laufenden Betrieb effizienter arbeiten und dadurch Zeit sowie Budget sparen können", sagt Rolf Irion, Geschäftsführer beim GRC-Softwarehersteller DB3. "Die Studie spiegelt unsere Erfahrungen wider: So geben 49 Prozent der Befragten mit einem professionellen IT-Compliance Management an, damit auch eine deutliche Steigerung der Transparenz zu erzielen. 36 Prozent konnten Betriebsprozesse optimieren."

Zukünftige Kosten sparen

Neben den Kosten sorgen sich viele der Befragten, ob Standard-Software wirklich flexibel genug ist, um die organisch gewachsenen und sich ständig verändernden Prozesse in ihren Unternehmen abzubilden. "Aus dieser Sorge heraus fällt die Entscheidung oft auf Speziallösungen, die in klar abgegrenzten Bereichen zum Einsatz kommen", erklärt Rolf Irion. "Das ist vermeintlich übersichtlicher, doch schaffen sich Unternehmen so Insellösungen, mit denen in vielen Fällen parallel dieselben Daten gepflegt werden."

Um Insellösungen zu vermeiden, setzt DB3 auf die Möglichkeit, Verbindung zwischen den verschiedenen GRC-Disziplinen herzustellen. Durch den modularen Aufbau der eigenen Softwarelösung "HiScout GRC Suite" ist es möglich, den Einsatz der Software sukzessiv auf die unterschiedlichen Governance, Risk und Compliance-Bereiche auszudehnen und überall mit bereits erfassten Daten zu arbeiten. Beginnt man zunächst mit einem Modul, kommen mit der Zeit weitere hinzu. Durch die dann entstehenden Verbindungen zwischen den verschiedenen Bereichen kann viel Zeit gespart und Redundanzen vermieden werden, weil die meisten Daten bereits zentral verfügbar sind. "Zu unserer Software passt das Bild vom Maßanzug zum Konfektionspreis", schmunzelt Rolf Irion. "Bzw. holen sich unsere Kunden gleich eine ganze Kollektion von Maßanzügen ins Haus." (DB3: ma)