VOICE-Studie

IT-Security verbraucht ein Zehntel des IT-Etats

25.02.2022
Von 
Christiane Pütter ist Journalistin aus München.
Sechs von zehn europäischen CIOs erhalten 2022 mehr Budget. Knapp ein Zehntel des Geldes wird für IT-Sicherheit ausgegeben, berichtet der IT-Anwenderverband VOICE.
  • 69 Prozent der Unternehmen beschäftigen einen Chief Information Security Officer (CISO)
  • Typischerweise stellen Unternehmen der IT 6,8 Prozent vom Umsatz bereit
  • Künstliche Intelligenz (KI)-as-a-Service gilt noch nicht als ausgereift
Sicherheit ist für europäische Business- und IT-Entscheider das wichtigste strategische Ziel im Jahr 2022.
Sicherheit ist für europäische Business- und IT-Entscheider das wichtigste strategische Ziel im Jahr 2022.
Foto: Gorodenkoff - shutterstock.com

Automatisierung zählt auf dem fünften Platz in diesem Jahr erstmals zu den wichtigsten strategischen Zielen von IT-Entscheidern. Davor rangieren Sicherheit als oberste Priorität sowie Digitalisierung, das Rekrutieren von IT-Skills und Agilität/Flexibilität in der IT. Das belegt eine Studie im Auftrag des Bundesverbands der IT-Anwender VOICE e.V. Befragt wurden dazu europäische Entscheider aus Business- und IT-Bereichen.

An die wachsende Bedeutung der Automatisierung knüpfen sich hohe Erwartungen: Sie soll Unternehmen bei der Digitalisierung unterstützen und Kosten senken. Stichwort Kosten: In einer vergleichbaren Erhebung vor fünf Jahren hatten noch 22 Prozent der Teilnehmer die IT als Kostenfaktor bezeichnet. 2022 beurteilt eine große Mehrheit von 92 Prozent den Wertbeitrag der IT zum Unternehmenserfolg als "hoch" oder "sehr hoch". Hier sehen die Befragten einen Zusammenhang mit der anhaltenden Pandemie. Die veränderten Anforderungen an die Unternehmen hätten die Stellung der IT gestärkt, so die vorherrschende Meinung.

Branchenunterschiede bei den Etats

Das scheint sich in den Etats widerzuspiegeln: die Unternehmen stellen ihrer IT 2022 im Durchschnitt 6,8 Prozent vom Umsatz bereit. In den vergangenen beiden Jahren waren es 4,3 Prozent. Allerdings zeigen sich hier deutliche Branchenunterschiede: CIOs in IT/Telekommunikationsfirmen, in der Verwaltung sowie bei Beraterfirmen und Banken beziehungsweise Versicherungen erhalten überdurchschnittlich viel Budget. Mit unterdurchschnittlich wenig Geld müssen beispielsweise IT-Chefs in den Branchen Energie/Versorgung, Chemie/Pharma, Transport/Logistik sowie Konsumgüter haushalten.

Unabhängig von der Branche melden 60 Prozent der Studienteilnehmer steigende Budgets. 30 Prozent der Befragten berichten von stagnierenden Budgets und die verbleibenden zehn Prozent müssen 2022 mit weniger Geld auskommen. Insgesamt verbuchen IT-Entscheider ein deutliches Plus von 8,9 Prozent.

Die hoch priorisierte IT-Security schlägt im Budget durchschnittlich mit fast einem Zehntel zu Buche (9,6 Prozent), Tendenz steigend, wie 56 Prozent der Befragten erklären. Lediglich einer von hundert verzeichnet sinkende IT-Sicherheitsausgaben. Insgesamt schossen die Ausgaben in diesem Bereich in den vergangenen zwei Jahren jeweils um rund 20 Prozent in die Höhe.

CISOs etablieren sich in den Unternehmen.
CISOs etablieren sich in den Unternehmen.
Foto: VOICE/Metrics

Die Studienautoren haben sich näher angesehen, wie Unternehmen IT-Sicherheit managen. Dabei wird zunächst ein Widerspruch sichtbar: Acht von zehn Teilnehmern (82 Prozent) geben an, die Service Levels in ihrem Security-Umfeld nicht zu kennen oder keine vereinbart zu haben. Solche Service Levels sind zum Beispiel

  • die Mean Time to Acknowledge (MTTA); das ist die Frist von der Sicherheitsmeldung bis zu ihrer Bearbeitung (diese beträgt laut Umfrage im Durchschnitt eine Stunde),

  • die Mean Time to Contain (MTTC); diese beschreibt die Frist, in der das Security-Team die Angriffsvektoren unter Kontrolle bringt (im Schnitt vier Stunden),

  • die Mean Time to Resolve (MTTR); hier geht es darum, wie schnell eine Bedrohung nach Bekanntwerden der Sicherheitslücke behoben ist (üblicherweise ein Werktag) und

  • die Days to Patch; also die Dauer des Einspielens eines Sicherheits-Patches (meist ebenfalls ein Werktag).

Wichtigste Maßnahme ist das Etablieren eines Chief Information Security Officer (CISO). Fast sieben von zehn Unternehmen (69 Prozent) haben diese Rolle bereits besetzt. Weitere 24 Prozent wollen binnen Jahresfrist nachziehen. 56 Prozent nutzen SIEM (Security Incident and Event Management), 52 Prozent haben ein SOC (Security Operations Center) eingerichtet. Auch hier wollen die Nachzügler aufholen. Zero Trust haben aktuell erst 30 Prozent eingeführt; zumindest von den Planungen her werden solche Maßnahmen zunehmen.

Doch die Technologie ist nicht alles. 85 Prozent der Unternehmen schulen ihre Mitarbeiterinnen und Mitarbeiter (einschließlich der Führungskräfte) in Security-Fragen. Ein genauerer Blick zeigt hier eine Bandbreite auf: die Mehrheit von 54 Prozent führt solche Trainings einmal im Jahr durch. 27 Prozent schulen zweimal pro Jahr und acht Prozent dreimal. Die verbleibenden elf Prozent setzen solche Trainings noch öfter an.

Zusammenschluss für mehr IT-Sicherheit

Typischerweise stemmen die Entscheider das Thema Sicherheit nicht allein. Etwa neun Prozent der IT-Mitarbeiter kümmern sich um Security. Ihnen stehen externe Kolleginnen und Kollegen zur Seite, die stark nachgefragte Skills einbringen. Die Externen führen Penetrations-Tests durch oder unterstützen bei Audits und Zertifizierungen.

Karsten Tampier von der Metrics Group, die die Studie für VOICE durchgeführt hat, vergleicht all diese Maßnahmen mit dem sprichwörtlichen Rennen zwischen Hase und Igel. Er warnt davor, "jedem IT-Trend hinterherzulaufen". Sein Rat: "Erfolgsversprechender ist es, sich mit weiteren Igeln - etwa aus den Fachbereichen - zu verbünden, um gemeinsam die Chancen und Risiken neuer Trends in Ruhe abzuwägen."

Ein weiteres Ergebnis der Befragung bezieht sich auf die Fertigungstiefe in der IT. Diese entwickelt sich unterschiedlich: während sei bei der Infrastruktur sinkt, nimmt sie bei Anwendungs-Entwicklung und -Management zu. Das heißt: Infrastruktur wird immer öfter an Dienstleister beziehungsweise in die Cloud ausgelagert, während die Applikationen als Kernkompetenz gelten.

IT-Entscheider beurteilen den Reifegrad und Nutzen der angebotenen Cloud-Services sehr unterschiedlich. Als besonders ausgereift gelten IaaS, PaaS und SaaS.
IT-Entscheider beurteilen den Reifegrad und Nutzen der angebotenen Cloud-Services sehr unterschiedlich. Als besonders ausgereift gelten IaaS, PaaS und SaaS.
Foto: VOICE/Metrics

Stichwort Cloud Computing: Reifegrad und Nutzen werden je nach Service sehr unterschiedlich beurteilt. Die Befragten bewerten Infrastruktur-, Plattform- und Software-as-a-Service am Besten. Die Angebote im Bereich Security-as-a-Service können daran nicht ganz anknüpfen, erhalten aber bessere Einschätzungen als Desktop- und Datenbank-as-a-Service. Diese etablieren sich "in einem stabilen Mittelfeld", wie die Studienautoren schreiben. Am wenigsten ausgereift und nutzbringend ist nach Meinung der Befragten Künstliche Intelligenz (KI)-as-a-Service.

Was Fragen der Organisation angeht, so sehen die Entscheider die IT Infrastructure Library 4 (ITIL) als führend an. Die vergleichsweise neue Methode Objectives and Key Results (OKR) lässt gemessen an Reifegrad und Nutzen eingeführte Management-Systeme wie SAFe 5.0 und COBIT 5 hinter sich. Der Anwenderverband VOICE und die Metrics Group ziehen aus den Studienergebnissen das Fazit, dass die IT ihre Aufgaben 2022 "voller Selbstbewusstsein" in Angriff nehme.