Ein bisschen Alarmstimmung gefällig? Gerne, gerade beim Thema Informationssicherheit ist sie einfach kredenzt – aktuell von den Analysten von PricewaterhouseCoopers (PwC) und Iron Mountain. Im Auftrag des Security-Anbieters ermittelte PwC erstmals einen europäischen Risk Maturity Index. Und die Ergebnisse sind ebenso alarmierend wie die Zusammenfassung des Befundes von Christian Toon, Leiter Information Risk bei Iron Mountain Europe.
„Die Resultate enthüllen ein sehr beunruhigendes Bild von Genügsamkeit, Ignoranz und Missmanagement, das europaweit die Alarmglocken schrillen lassen sollte“, so Toon. „Der Befund bereitet insbesondere deshalb Sorge, weil derzeit Unternehmen aller Größenklassen und jedweder Branche in ganz Europa elektronische und papierne Aufzeichnungen in nie dagewesener Geschwindigkeit produzieren und verarbeiten – und das in einem immer strikteren regulatorischen Umfeld.“
Verbesserungsbedarf im Umgang mit Informationsrisiken
PwC befragte in sechs Ländern 600 mittelständische Firmen – und das in aller Ausführlichkeit. Auf Basis eines 34-teiligen Fragebogens konnte in den vier Kategorien Strategie, Mitarbeiter, Kommunikation und Sicherheit ein Höchstwert von 100 Punkten erreicht werden, wenn das Thema Datensicherheit ideal angegangen wird. Die europäischen Firmen erreichten im Durchschnitt aber nur 40,6 Punkte – ein miserables Ergebnis.
Der Index messe den Reifegrad der Business-Praktiken im Umgang mit Informationsrisiken, heißt es in der Studie. „Die Performance war armselig“, so PwC und Iron Mountain. „In einer kommerziellen Welt, in der jegliches Wachstum gut ist und die Neuerfindung einer Dienstleistungskultur die Kundenzufriedenheit hebt, ist alles unter 50 Punkten eine schlechte Nachricht für Firmen, Kunden und ihren kollektiven Seelenfrieden.“
Die deutschen Unternehmen schneiden dabei noch weitaus schlechter ab als der europäische Durchschnitt. Lediglich 39,7 Punkte konnten hierzulande erzielt werden, erhebliche Defizite bestehen in allen vier untersuchten Kategorien.
Ungarn vorne, UK hinten
Einäugiger unter Blinden im europäischen Vergleich ist Ungarn, das mit 45.4 Punkten den besten Wert erzielte. Dahinter folgen Spanien mit 42,2 und Frankreich mit 41,7. Dann kommt die Bundesrepublik, die immerhin die Niederlande mit 39,5 und Großbritannien mit glatt 36 hinter sich lassen konnte.
Im Branchenvergleich liegen die Finanzdienstleister zwar auch deutlich unter 50 Punkten, aber mit 46,3 dennoch ganz vorne. Die 40 Punkte-Markten knackten noch die Versicherer und Pharmafirmen, während Fertigung und Maschinenbau sowie juristische Dienstleister darunter blieben.
Die formale Verantwortung für das desaströse Abschneiden haben scheinbar IT-Sicherheitsmanager und CIOs, die in 35 Prozent respektive 22 Prozent der Firmen für das Thema zuständig sind. Tatsächlich werden die IT-Chefs von den Analysten aber entlastet. Eine entscheidende Ursache für die haarsträubenden Resultate ist demnach, dass viele Unternehmen das Problem rein technologisch anpacken und alleine mit Hilfe von Tools in den Griff bekommen wollen – was nicht funktioniert.
In der Studie kommt vor allem das Management schlecht weg, weil es die Zügel schleifen lässt. Nur in 13 Prozent der Firmen machen CEO, Geschäftsführer oder CFO die Informationssicherheit zur Chefsache, nur ein Prozent der Befragten behauptet, dass alle Mitarbeiter für das Thema verantwortlich seien. „Die Business-Verantwortlichen ignorieren die Gefahr, die von Datensicherheitsrisiken ausgeht“, kritisiert Richard Sykes, Risk Compliance-Experte bei PwC. Historisch sei das Problem immer als IT-Frage behandelt worden, was sich bis heute in den Reporting-Kanälen widerspiegle. „Aber das ist eine komplett falsche Konzeption und muss sich ändern“, fordert Sykes.
Hinter den schlechten Index-Werten verbirgt sich eine Reihe konkreter Defizite. So zählt nur die Hälfte der Befragten Datensicherheit zu den drei wichtigsten Business-Risiken, obwohl es spektakuläre Fälle mit enormen Folgekosten en masse gibt. Nur 36 Prozent der Mittelständler haben die Verantwortung für das Team an einen Mitarbeiter oder ein Team delegiert und kontrollieren deren Resultate.
3 Best-Practice-Tipps
60 Prozent der Firmen sind sich nicht sicher, ob die Mitarbeiter über die notwendigen Tools zum Datenschutz verfügen. Mehr als ein Viertel überprüft den persönlichen Background seiner Mitarbeiter überhaupt nicht. Reagiert wird oft nur dann, wenn das sprichwörtliche Kind bereits im Brunnen ersoffen ist. 59 Prozent der Unternehmen, die bereits Datenverlust erlitten, investierten hinterher in adäquaten Schutz.
Zu den Schlüsselelementen in der Kategorie Strategie zählt PwC das Aufstellen einer Datensicherheitsstrategie, die Implementierung eines Risikoregisters sowie eine sichere Entsorgung von Hardware und Dokumenten. Ansatzpunkte bei den Mitarbeitern sind unter anderem Schulungen und Richtlinien für die Nutzung des Internets und von Social-Media-Seiten. Im Feld der Kommunikation empfiehlt sich, die Risiken unternehmensweit bekannt zu machen und klare Vorgaben zum Speichern und Löschen von Daten zu machen. In die Rubrik Sicherheit fallen Verzeichnisse von Speicherorten und eine zentralisierte Datenbank fürs Security Information Management, aber auch Zugangskontrollen – nicht nur virtuell, sondern auch bei Gang in die Büros.
Einen Fingerzeig zur Verbesserung der Situation liefern drei Punkte, die Unternehmen mit einem guten Ergebnis besser machen als der Rest.
-
Erstens kümmert sich dort die Unternehmensführung um das Thema Datensicherheit.
-
Zweitens arbeiten dort Teams mit Mitarbeitern aus verschiedenen Abteillungen an einer Optimierung.
-
Drittens gibt es dort in der Regel eine ausgeklügelte Strategie, deren Erfolg auch überprüft wird.
Die Studie „Beyond cyber threats: Europe’s First Information Risk Maturity Index” ist bei Iron Mountain erhältlich.