Fehlanzeige Sicherheitskonzept

Banken trödeln beim Risk Management

16.11.2007 von Alexander Galdy
Information Risk Management (RM) hat zwar in den Chefetagen der Banken höchste Priorität, doch der Fortschritt läuft schleppend. Weniger als ein Drittel der Führungskräfte in den Geldinstituten setzt auf ein integriertes Sicherheitskonzept und hat bereits Datensilos beseitigt. Zu diesem Resultat kommt eine Studie von RSA.

Bei den Banken weiß man sehr wohl, wie wichtig ein Informations-Management auf strategischer Ebene ist. Drei Viertel der Befragten waren sich auch über die Vorteile im Klaren, die RM über ihren gesamten Lebens-Zyklus hat. In der Praxis ist aber oft noch unklar, wie diese Informationen am besten zu verwalten sind und welchen Risiken sie unterliegen.

Als das entscheidende Hindernis zur besseren Beherrschung von IT-Risiken nannten die Studien-Teilnehmer interne organisatorische Barrieren. Außerdem ergab die Umfrage, dass das Risiko nicht als Bestandteil einer durchgängigen Gesamtstrategie angesehen wird. Zum Beispiel gab die Hälfte der Führungskräfte zu, die Einhaltung einschlägiger Vorschriften werde nicht auf strategischer Ebene, sondern von Fall zu Fall angegangen.

Rückständig

Zu dieser Vorgehensweise passt laut RSA die rückständige Meinung zur Informations-Sicherheit sowie die Art und Weise, wie diese erzielt werden kann. Nur jedem fünften war klar, dass eine Absicherung an den Außengrenzen nicht ausreicht, die Informations-Bestände einer Bank zu schützen.

Zwar richtet fast die Hälfte die Anstrengungen bereits darauf aus, Informationen durch Sicherung der Außengrenzen zu schützen. Die Notwendigkeit, RM auch auf Daten auszudehnen, die sich außerhalb des eigenen Systems bei Partnern, Beratern und Sub-Unternehmen befinden, erkennen aber nur 43 Prozent.

Informationen werden immer mobiler und kommen in unterschiedlichster Form wie Mail, Anhang oder Datenbank vor. Ein auf Außengrenzen beschränktes Sicherheitskonzept reicht laut RSA nicht mehr aus, um die Risiken zu beherrschen, die die Integrität von Informationen bedrohen.

Speziell für Finanzinstitute, deren Geschäftserfolg von einem sicheren Informationsfluss sowie dem Management und dem Schutz der Informationen abhängt, dürfe die Zuständigkeit dafür nicht mehr allein der IT-Abteilung auferlegt werden. Dieser Aspekt betrifft vielmehr das gesamte Unternehmen.

Raus aus dem Vakuum

Finanzinstitute sollten aufhören, Informationsrisiken in einer Art Vakuum zu betrachten, sondern sich diesem Thema auf konsolidierte und ganzheitliche Weise stellen. Das Informations-Management sollte der wichtigste Aspekt sein, in dem sich ein Finanzdienstleister von seinen Mitbewerbern unterscheidet.

Die Untersuchung wurde im Oktober 2007 durch das Marktforschungsunternehmen Datamonitor unter anderem bei CIOs, IT-Sicherheits-Verantwortlichen, Compliance-Leitern, leitenden Managern des IT- und Risk-Bereichs sowie COOs durchgeführt. Dabei wurden Deutschland, Großbritannien, Spanien, Italien und die Benelux-Länder erfasst. Bei den befragten Finanzinstituten handelt es sich um Organisationen mit einem Anlagevermögen zwischen 20 und 250 Milliarden US-Dollar.