Thema der Woche

11. Januar 2006

Zertifizierung nur bei Wettbewerbsdruck?

Zwar erwarten über zwei Drittel größerer Firmen, dass eine Zertifizierung ihrer IT-Sicherheit nach anerkannten Standards die Unternehmensrisiken verringern kann – die Umsetzung solcher Projekte wollen sie aber vor allem davon abhängig machen, wie sich die Zertifizierungserfordernisse in ihrer Branche entwickeln. Zu diesem Ergebnis kommt zumindest eine Erhebung durch [externer Link] Security for Business (S4B) unter 256 Unternehmen mit einem Umsatz von über 200 Mio. Euro.

Danach erwarten 38 % der Befragten von einer Zertifizierung in jedem Fall eine umfassende Verbesserung ihrer Sicherheitsverhältnisse. Weitere 31 % glauben, dass sie auf diesem Weg zumindest die kritischen Bereiche optimieren können. Lediglich 17 % schätzen die Wirkung einer solchen Maßnahme für die Unternehmenssicherheit als gering ein.

Dennoch geben für die meisten befragten Unternehmen keineswegs die internen Risikoverhältnisse den hauptsächlichen Anstoß für eine Zertifizierung, sondern in zwei Drittel der Fälle wird dies, wie eingangs erwähnt, vor allem von der Entwicklung im Wettbewerb abhängig gemacht. Dies entspricht auch der Einschätzung von Michael Tomas, Leiter der akkreditierten Zerfizierungsstelle beim IT-Dienstleister Würth Phoenix: "Am Beispiel der Automobilindustrie sehen wir, dass es bereits Entwicklungen in Richtung der gegenseitigen Anerkennung von Zertifizierungen nach ISO 27001 gibt." Inwieweit sich auch andere Branchen diesem Thema widmen werden, bleibe jedoch abzuwarten.

Als zweitwichtigstes Entscheidungsmoment wurde von 61 % der Firmen in der S4B-Umfrage die Überschaubarkeit des Realisierungsprojekts genannt: "Viele Unternehmen scheuen wegen der umfangreichen Maßnahme eine komplette Zertifizierung, deshalb erscheint es sinnvoll, sie modular aufzubauen", urteilt S4B-Geschäftsführer Erich Zimmermann.

Eine weniger große Bedeutung für die Umsetzung von Zertifizierungsprojekten haben der Erhebung zufolge die Bewertung der Gefahrenentwicklung (59 %) sowie wirtschaftliche Aspekte (53 %). Zimmermann führt die Abkopplung einer Zertifizierungsentscheidung von aktuellen Risikoerscheinungen auf grundsätzliche strategische Überlegungen zurück: "Eine mögliche Zertifizierung hat für die Unternehmen offenbar einen präventiven und grundsätzlichen Charakter", kommentiert der S4B-Geschäftsführer, "In solchen Fällen stehen auch Kostenfragen nicht immer an oberster Stelle."