IT-Sicherheit in Produktion und Technik
12.09.17 - 13.09.17
In Berlin

Be CIO: IT Management im digitalen Wandel
13.09.17 - 13.09.17
In Köln

IBC 2017
14.09.17 - 18.09.17
In Amsterdam

Orbit IT-Forum: Auf dem Weg zum Arbeitsplatz der Zukunft
27.09.17 - 27.09.17
In Leverkusen

it-sa 2017
10.10.17 - 12.10.17
In Nürnberg

Datenschutz: Deutsche Unternehmen bei Iron Mountain Studie nur im europäischen Mittelfeld
Der fahrlässige Umgang mit Informationen bleibt ein Risiko für Unternehmen. Deutschland belegt in puncto Informationssicherheit und -management sogar nur einen Rang im hinteren Mittelfeld im europäischen Vergleich. 
 
 Der Großteil der europäischen Unternehmen geht fahrlässig mit dem Schutz seiner Informationen um und setzt sich so überflüssigen Unternehmensrisiken durch Datenverluste aus. Das ist ein Ergebnis einer gemeinsamen europaweiten Studie von Iron Mountain und PwC, die auf dem Iron Mountain Information Risk Summit in Madrid vorgestellt wurde. Überraschend schneidet dabei Deutschland ab: Bei dem auf der Erhebung resultierenden europäischen Vergleichsindex (Information Risk Maturity Index) landeten deutsche Unternehmen im Vergleich mit fünf europäischen Ländern nur im hinteren Mittelfeld. Dabei zeigt der Bericht erheblichen Nachholbedarf: Nur etwa die Hälfte der befragten mittelständischen Unternehmen zählt den Verlust sensibler Informationen zu den drei größten Unternehmensrisiken. Nicht einmal ein Viertel wusste, ob in ihrem Unternehmen in den letzten drei Jahren eine Datenschutzverletzung stattgefunden hat. Der Bericht „Beyond cyber threats: Europe’s First Information Risk Maturity Index“ ist ab sofort unter www.ironmountain.co.uk/risk-management  abrufbar.
 
Ergebnisse der Studie im Überblick
 
  • Nur etwa die Hälfte der mittelständischen Unternehmen zählt den Verlust geschäftskritischer Informationen zu den drei größten Unternehmensrisiken.
  • Gerade 24 Prozent der Befragten wussten, ob es in den letzten drei Jahren in ihrem Unternehmen einen Datenschutzvorfall gab.
  • Nur ein Prozent der Studienteilnehmer sind der Auffassung, dass alle Mitarbeiter eines Unternehmens mitverantwortlich für Informationssicherheit sind. 60 Prozent hingegen konnten keine Auskunft darüber geben, ob ihren Mitarbeitern das richtige Wissen bzw. die richtigen Mittel zum Schutz von Informationen zur Verfügung stehen.
  • Nur 13 Prozent der Unternehmen meinen, dass Informationssicherheit Angelegenheit des Vorstands sein sollte. Dagegen sieht ungefähr ein Drittel (35 Prozent) die Zuständigkeit für Informationssicherheit – sowohl für papierbasierte als auch für digitale Informationen – ausschließlich bei der IT-Abteilung.
  • Die Einschätzung von Informationsrisiken als reines IT-Problem ist weit verbreitet: 59 Prozent der Unternehmen reagieren auf eine Datenschutzverletzung mit der Installation zusätzlicher IT-Lösungen.
  • Gerade einmal ein Drittel (36 Prozent) der Befragten hat die Verantwortung für die Informationssicherheit einem bestimmten Mitarbeiter oder Team übertragen und evaluiert deren Effektivität regelmäßig.
 
Warnschuss für Unternehmen
 
Auf dem Iron Mountain Information Risk Summit wurde klar: Unternehmen müssen weiterhin mit Verlusten und Image-Schäden durch Datenschutzverletzungen rechnen, wenn sie keine Sofortmaßnahmen einleiten, um den Schutz und das Management vertraulicher Unternehmensdaten zu verbessern. So muss Informationssicherheit endlich ein Managementthema auf Vorstandsebene werden. Außerdem sind Veränderungen im Mitarbeiterverhalten sowie ein kulturelles Umdenken auf Führungsebene dringend erforderlich, um der herrschenden Gleichgültigkeit und Nachlässigkeit sowie dem fehlenden Verantwortungsgefühl entgegenzusteuern. Denn das größte Sicherheitsrisiko für Informationen gehe, so ein weiteres Studienergebnis, von den Mitarbeitern aus. Jeder einzelne müsse deshalb für die Sicherheit der Informationen seines Unternehmens mitverantwortlich sein und diese Verantwortung ernst nehmen.
 
Marc Duale, President of International bei Iron Mountain, bezeichnet die Ergebnisse der Studie als Warnschuss für europäische Unternehmen: „Unternehmen müssen endlich aus ihrer Informationsapathie aufwachen und eine Unternehmenskultur der Informationsverantwortung etablieren. Wer jetzt nicht handelt, setzt nicht nur die Informationen seiner Kunden ernstzunehmenden Risiken aus, sondern fügt dadurch möglicherweise auch seinem eigenen Unternehmen irreparable Image-Schäden zu.“
 
Für William Beer, Director Cyber and Information Security Practice bei PwC UK, ist es nicht überraschend, dass Unternehmen aller Größen und Branchen Schwierigkeiten bei der Sicherung ihrer Informationen haben: „Informationssicherheit basiert auf drei Elementen: Menschen, Prozesse und Technologien. Viele Unternehmen konzentrieren sich beim Schutz ihrer Informationen zu sehr auf die Investition in Technologie. Aber das ist kein Allheilmittel. Denn gerade mittelständische Unternehmen können auch mit geringerem finanziellen Aufwand den Schutz ihrer Informationen verbessern, indem sie ausgehend von der Unternehmensleitung einen Wandel der Unternehmenskultur herbeiführen, neue Prozesse implementieren und ihr Personal entsprechend schulen.“
 
Maßnahmen zur Verbesserung der Informationssicherheit
 
Auf Basis der Ergebnisse des Information Risk Maturity Index hat Iron Mountain einige Schritte und Maßnahmen zusammengestellt, mit denen Unternehmen die Sicherheit ihrer Informationen verbessern  können.
 
  • Schritt 1: Informationssicherheit in den Zuständigkeitsbereich des Vorstands
Der Verlust von Informationen kann für ein Unternehmen existenzgefährdend sein. Informationssicherheit gehört deshalb zwingend in den Zuständigkeitsbereich des Vorstands beziehungsweise der Geschäftsführung und sollte ein ständiger Punkt auf deren Agenda sein. Es empfiehlt sich, dass ein Vorstandsmitglied explizit die Verantwortung für das Thema übernimmt. Darüber hinaus sollte Informationssicherheit in das Controlling der Unternehmensperformance miteinbezogen werden.
 
  • Schritt 2: Kultur der Informationssicherheit am Arbeitsplatz herstellen
Unternehmen sollten Maßnahmen zur Sensibilisierung ihrer Mitarbeiter für das Thema Informationssicherheit entwickeln und umsetzen. Dazu sollten regelmäßige, auf einzelne Abteilungen abgestimmte Schulungen gehören. Best Practices und Incentives für den vorbildlichen Umgang mit Informationen können das allgemeine Bewusstsein für Informationssicherheit auf allen Hierarchieebenen erhöhen.
 
  • Schritt 3: Verbindliche Richtlinien
Unternehmen müssen ihren Mitarbeitern verbindliche Richtlinien für den sicheren Umgang mit Informationen an die Hand geben. Diese sollten alle Datenformate (elektronisch, papierbasiert etc.) abdecken. Außerdem müssen sie Schwachstellen, die sich aufgrund manueller, nicht automatisierter Informationsverarbeitung ergeben, identifizieren. Dazu können auch Möglichkeiten für die Mitarbeiter beitragen, anonym Hinweise auf Verbesserungsmöglichkeiten zu geben. Alle Systeme und Prozesse müssen in regelmäßigen Abständen auf den Prüfstand.
 
Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet