Madrid, Starnberg, 23. März 2012 – Iron Mountain- und PWC Studie zum mangelhaften Umgang europäischer Unternehmen mit Informationen…
Zum Hintergrund: Der Großteil der europäischen Unternehmen geht "fahrlässig mit dem Schutz seiner Informationen um und setzt sich so überflüssigen Unternehmensrisiken durch Datenverluste aus"... Die gilt vor allem für Mittelständler. Das ist ein Ergebnis einer gemeinsamen europaweiten Studie* von Iron Mountain und PwC, die gestern auf dem Iron Mountain Information Risk Summit in Madrid vorgestellt wurde. Bei dem auf der Erhebung resultierenden europäischen Vergleichsindex (Information Risk Maturity Index) landeten deutsche Unternehmen im Vergleich mit fünf europäischen Ländern nur im hinteren Mittelfeld. Dabei zeigt der Bericht erheblichen Nachholbedarf: Nur etwa die Hälfte der befragten mittelständischen Unternehmen zählt den Verlust sensibler Informationen zu den drei größten Unternehmensrisiken. Weniger als ein Viertel wusste, ob in ihrem Unternehmen in den letzten drei Jahren eine Datenschutzverletzung stattgefunden hat. Der Bericht „Beyond cyber threats: Europe’s First Information Risk Maturity Index“ ist ab sofort in engl. Sprache abrufbar unter:
http://www.ironmountain.co.uk/risk-management
- Nur etwa die Hälfte der mittelständischen Unternehmen zählt den Verlust geschäftskritischer Informationen zu den drei größten Unternehmensrisiken.
- Gerade 24 Prozent der Befragten wussten, ob es in den letzten drei Jahren in ihrem Unternehmen einen Datenschutzvorfall gab.
- Nur ein Prozent der Studienteilnehmer sind der Auffassung, dass alle Mitarbeiter eines Unternehmens mitverantwortlich für Informationssicherheit sind. 60 Prozent hingegen konnten keine Auskunft darüber geben, ob ihren Mitarbeitern das richtige Wissen bzw. die richtigen Mittel zum Schutz von Informationen zur Verfügung stehen.
- Nur 13 Prozent der Unternehmen meinen, dass Informationssicherheit Angelegenheit des Vorstands sein sollte. Ca. ein Drittel (35 Prozent) sieht die Zuständigkeit für Informationssicherheit – sowohl für papierbasierte als auch für digitale Informationen – ausschließlich bei der IT-Abteilung.
- Die Einschätzung von Informationsrisiken als reines IT-Problem ist weit verbreitet: 59 Prozent der Unternehmen reagieren auf eine Datenschutzverletzung mit der Installation zusätzlicher IT-Lösungen.
- Rund ein Drittel (36 Prozent) der Befragten hat die Verantwortung für die Informationssicherheit einem bestimmten Mitarbeiter oder Team übertragen und evaluiert deren Effektivität regelmäßig.
Für William Beer, Director Cyber and Information Security Practice bei PwC UK, ist es nicht überraschend, dass Unternehmen aller Größen und Branchen Schwierigkeiten bei der Sicherung ihrer Informationen haben: Zitat: „Informationssicherheit basiert auf drei Elementen: Menschen, Prozesse und Technologien. Viele Unternehmen konzentrieren sich beim Schutz ihrer Informationen zu sehr auf die Investition in Technologie. Aber das ist kein Allheilmittel. Denn gerade mittelständische Unternehmen können auch mit geringerem finanziellen Aufwand den Schutz ihrer Informationen verbessern, indem sie ausgehend von der Unternehmensleitung einen Wandel der Unternehmenskultur herbeiführen, neue Prozesse implementieren und ihr Personal entsprechend schulen.“
Auf Basis der Ergebnisse des Information Risk Maturity Index hat Iron Mountain einige Schritte und Maßnahmen zusammengestellt, mit denen Unternehmen die Sicherheit ihrer Informationen verbessern können.
Schritt 1: Informationssicherheit in den Zuständigkeitsbereich des Vorstands
Der Verlust von Informationen kann für ein Unternehmen existenzgefährdend sein. Informationssicherheit gehört deshalb zwingend in den Zuständigkeitsbereich des Vorstands beziehungsweise der Geschäftsführung und sollte ein ständiger Punkt auf deren Agenda sein. Es empfiehlt sich, dass ein Vorstandsmitglied explizit die Verantwortung für das Thema übernimmt. Darüber hinaus sollte Informationssicherheit in das Controlling der Unternehmensperformance miteinbezogen werden.
Schritt 2: Kultur der Informationssicherheit am Arbeitsplatz herstellen
Unternehmen sollten Maßnahmen zur Sensibilisierung ihrer Mitarbeiter für das Thema Informationssicherheit entwickeln und umsetzen. Dazu sollten regelmäßige, auf einzelne Abteilungen abgestimmte Schulungen gehören. Best Practices und Incentives für den vorbildlichen Umgang mit Informationen können das allgemeine Bewusstsein für Informationssicherheit auf allen Hierarchieebenen erhöhen.
Schritt 3: Verbindliche Richtlinien
Unternehmen müssen ihren Mitarbeitern verbindliche Richtlinien für den sicheren Umgang mit Informationen an die Hand geben. Diese sollten alle Datenformate (elektronisch, papierbasiert etc.) abdecken. Außerdem müssen sie Schwachstellen, die sich aufgrund manueller, nicht automatisierter Informationsverarbeitung ergeben, identifizieren. Dazu können auch Möglichkeiten für die Mitarbeiter beitragen, anonym Hinweise auf Verbesserungsmöglichkeiten zu geben. Alle Systeme und Prozesse müssen in regelmäßigen Abständen auf den Prüfstand.
*Zur Methodik: Zur Erstellung des europaweit ersten „Information Risk Maturity Index“ für mittelständische Unternehmen hat PwC das Informationsmanagement 600 führender europäischer Unternehmen untersucht. Dafür wurden 600 Führungskräfte von Unternehmen mit 250 bis 2500 Mitarbeitern aus Deutschland, Großbritannien, Frankreich, Spanien, den Niederlanden und Ungarn befragt. Die Ergebnisse zeigen, dass der Großteil der Unternehmen keine oder nur wenige Maßnahmen zur Vorbeugung von Informationsrisiken wie Datenschutzverletzungen, Datenverlusten oder dem Verstoß gegen Compliance-Richtlinien getroffen hat. Im Durchschnitt erzielen die europäischen Unternehmen gerade einmal 40,6 von möglichen 100 Punkten. Der Information Risk Maturity Index bewertet dabei eine Reihe von Maßnahmen, deren Implementierung und regelmäßige Überwachung dazu beiträgt, digitale und papierbasierte Unternehmensinformationen zu schützen. Dazu zählen Maßnahmen aus den Bereichen Strategie, Personal, Kommunikation und Sicherheit. Je mehr Anforderungen aus diesen unterschiedlichen Bereichen ein Unternehmen erfüllt, desto höher fällt seine Bewertung im Index aus.