Die ibi research an der Universität Regensburg GmbH hat in Kooperation mit dem deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI) und dem IT Grundschutz Informationsdienst eine Studie in Deutschland zum Thema “IT-Sicherheitsstandards und IT-Compliance 2010” durchgeführt. Die Ergebnisse der Studie wurden am IT-Grundschutz-Tag 2010 präsentiert. Die Studie wurde auf Basis eines Fragenkataloges mit 65 Fragen durchgeführt. Die Fragen gliederten sich in die Bereiche “Allgemein” (Fragen zur teilnehmenden Institution und Person), “Übergreifend” (Bedeutung von IT-Sicherheit/IT-Compliance, Unternehmensgröße, Mitarbeiteranzahl in diesen Bereichen) und “Themenspezifisch” (Zertifizierung, verwendete IT-Frameworks, Rezertifizierung und IT-Compliance). Die Teilnehmeranzahl betrug 294 Personen, wobei 42% aus Großunternehmen (> 500 MA), 45% aus Mittelständischen Unternehmen (< 500 MA) und 13% aus Kleinunternehmen (< 10 MA) stammen. Überwiegend wurde der Fragebogen von (IT-) Sicherheitsbeauftragten ausgefüllt.
Dabei wurden unter anderem auch die positiven Effekte durch IT-Compliance Management vorgestellt. Mit großem Abstand wurde die höhere Transparenz und die Optimierung der Betriebsprozesse als positivste Effekte bewertet. Themen wie die Reduzierung der Betriebskosten und Komplexität der Infrastruktur waren bei ca. 10% der Befragten ein positiver Effekt.
Folgende Schlüssel-Erkenntnisse im Bereich der IT-Compliance wurden im Rahmen der Studie festgestellt:
Interessant dabei ist, dass derzeit kaum der Einsatz von Software zur Unterstützung von IT-Compliance verwendet wird. Durch Einsatz von entsprechender Softwareunterstützung könnten die Key-Findings “Qualität noch nicht ausreichend” und “Optimierungshemmnisse durch fehlendes Personal” dahingehend entschärft werden, dass der IT-Compliance Prozess nicht nur durch Software unterstützt, sondern auch entsprechend automatisiert wird. Hier bietet z.B. der System Center Service Manager mit dem IT Governance, Risk and Compliance Modul im Zusammenspiel mit dem System Center Configuration Manager eine erhebliche Erleichterung bei der Durchführung von IT-Audits. Durch diese kontinuierliche, automatisierte Überprüfung von Konfigurationszuständen ist die Qualität immer gleichbleibend und vor allem die Quantität der überprüften Systeme kann dadurch wesentlich erhöht werden.
Nähere Informationen zu dieser Lösung sind in meinen Blog-Beiträgen zum System Center Service Manager zu finden: System Center Service Manager
Diese und weitere Erkenntnisse im Bereich der IT-Sicherheit und IT-Compliance sind im Foliensatz der Studie einsehbar.
Die Präsentation dieser Studie ist hier verfügbar: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Veranstaltungen/3GS_Tag2010/IBI_Kronschnabel.pdf?__blob=publicationFile
IT-Compliance Blog 