Zahlreiche europäische Finanzdienstleister nehmen Informationsrisiken offenbar auf die leichte Schulter. Obwohl Banken und Versicherungen sensible personenbezogene Daten von Millionen von Kunden speichern, haben 41 Prozent keine Maßnahmen zur Bewertung ihrer Informationsrisiko-Strategie implementiert. Das ist das Ergebnis einer aktuellen Studie von Dokumentenmanagement-Dienstleister Iron Mountain und der Beratungsgesellschaft PricewaterhouseCoopers (PwC).
Institute, die Datenschutz- und Informationsmanagement-Strategien im Einsatz haben, überprüfen deren Umsetzung nicht. Mitarbeiter in den Bereichen Informationsrisiko-Management, Datenschutz und Datenwiederherstellung werden in 42 Prozent der befragten Unternehmen nicht kontrolliert. Ob die Richtlinien im Umgang mit den sensiblen Daten tatsächlich eingehalten werden, ist daher nur schwer nachvollziehbar.
Bei Sicherheitspannen drohen Haftungsforderungen
Das fahrlässige Verhalten beim Informationsmanagement und der Aktenlagerung erstaunt umso mehr, als Finanzdienstleister, bei denen sich ein Sicherheitsvorfall ereignet, mit Haftungsforderungen rechnen müssen. Ganz zu schweigen vom beschädigten und schwer zu reparierenden Image.
Hans-Günter Börgmann, Geschäftsführer der Iron Mountain Deutschland GmbH, ergänzt aus den Untersuchungsergebnissen: "Interessanterweise gaben 45 Prozent der Befragten an, dass sie vor allem Wissensdefizite an der Implementierung einer effektiven Informationsmanagement-Strategie hinderten." Es sei an der Zeit, dass die Unternehmen Verantwortung für die von ihnen gespeicherten sensiblen Informationen übernehmen.
Technische Maßnahmen alleine reichten jedoch nicht. Finanzdienstleister sollten Konzepte zur Verankerung von Corporate Information Responsibility in ihre Unternehmenskultur integrieren. Die Impulse dafür müssten aus der obersten Führungsetage kommen, so Börgmann.
Mitarbeiter im Informationsmanagement müssen geschult sein
Mitarbeiter müssten ausreichend geschult, unterstützt und regelmäßig überwacht werden: "Es nützt überhaupt nichts, Ressourcen in die technische Informationssicherheit zu stecken, wenn die Resultate anschließend nicht überprüft werden. Alle Gelder und Technologien schützen sensiblen Daten nicht, wenn der alles entscheidende Faktor Mensch völlig außer Acht gelassen wird", erklärt Börgmann.
Im Rahmen der Studie zum Informationsrisiko wurde auch der erste europäische Vergleichsindex (Information Risk Maturity Index) erstellt, mit dem Unternehmen ermitteln können, ob sie angemessen auf Informationsrisiken vorbereitet sind. Europäische Unternehmen erzielten im Durchschnitt 40,6 von 100 Punkten. Die Finanzdienstleistungsbranche schnitt mit 46,3 Punkten am besten ab.
Befragt wurden für die Studie 600 Unternehmen in sechs europäischen Ländern mit bis zu 2500 Mitarbeitern.