Unternehmensdaten werden nur wenig geschützt
VON Philipp Ochsner News
„Datensicherheit ist für Unternehmen von hoher strategischer Bedeutung und doch beherrschen die meisten Unternehmen ihre Sicherheitsprozesse nur unzureichend“, sagt Dr. Boris Piwinger, Berater und Experte für Informationssicherheit bei A.T. Kearney.
„Für Funktionen wie Produktion oder Beschaffung haben die Verantwortlichen ein klares Verständnis von operativer Exzellenz. Doch bei Informationssicherheit herrscht noch eine grosse Unsicherheit: 79 Prozent der Unternehmen haben nach eigenen Angaben keine klaren Vorstellungen zu Effizienz im Informationssicherheitsmanagement – und die restlichen 21 Prozent haben meist auch kein klares Konzept.“
Eine aktuelle Studie von A.T. Kearney und der Mannheim Business School unter Chief Information Security Officern (CISOs) weltweit zeigt, dass die Unternehmen beim effizienten Management von Informationssicherheit noch am Anfang stehen.
Viele Unternehmen wissen der Studie zufolge nicht, in welchem Verhältnis ihr jeweiliger Sicherheitsaufwand zu einem möglichen Schaden steht: „Die wenigsten Unternehmen überblicken die Sicherheitsrisiken und ihre Auswirkungen und verfügen über eine differenzierte Einschätzung“, erklärt Holger Röder, Partner bei A.T. Kearney und Leiter der globalen Strategic IT Practice.
„Für Unternehmen, die über personenbezogene oder beziehbare Daten verfügen, ist natürlich klar, dass sie ein sehr hohes Niveau zum Schutz all ihrer Kundendaten brauchen. Die meisten anderen aber müssen die Sicherheitsniveaus erst definieren – damit tun sich viele Unternehmen sichtlich schwer, erst recht, wenn es um Big-Data-Anwendungen geht.“
Kostentransparenz immer wichtiger
Aus den Ergebnissen der Studie ergeben sich acht Best-Practice-Ansätze: Aufbauend auf einem klaren Verständnis, was die Kronjuwelen des Unternehmens sind und adäquaten Schutzmassnahmen für unterschiedliche wertvolle Informationen, liessen sich Transparenz und Effizienz im Sicherheitsmanagement zum Beispiel durch Shared-Service-Center erhöhen. Ihre Leistungen würden bei Inanspruchnahme den Fachbereichen in Rechnung gestellt. Die Mehrheit der Unternehmen zählt heute noch die Kosten für Informationssicherheit zu den Overhead-Kosten und erschwert damit Kostentransparenz und Kostenbewusstsein.
Organisationen, bei denen der Chief Information Security Officerdirekt an den Vorstand berichtet, sind tendenziell erfolgreicher beim Management der Informationssicherheit, wie die Studie zeigt.
Ebenso erweisen sich Bottom-up-Budgetierung und eine klarer Priorisierung der Massnahmen als wirksame Ansatzpunkte: „Die weit verbreitete Faustregel, dass die Kosten für Informationssicherheit fünf Prozent des gesamten IT-Budgets ausmachen, ist eine denkbar schlechte Orientierung für Unternehmen, die nach Effizienz ihrer Informationssicherheit streben“, sagt Piwinger: „Unternehmen müssen unterscheiden zwischen Massnahmen, die sie zwingend brauchen und solchen die nur ’nice to have‘ sind. Darauf aufbauend können sie ihre Ressourcen vor allem dort einsetzen, wo sie am meisten nutzen.“
https://youtu.be/fVwjkI7UBc4
Netflix ist oft ein Ziel
Stress- und Penetrationstests erlauben es, Schwachstellen schnell zu entdecken und gezielt anzugehen. Netflix zum Beispiel, ein „hochwertiges Angriffsziel“, führt wöchentlich über Tausend Tests durch, um Lücken zu schliessen. Weniger verwundbare Unternehmen könnten mit weniger auskommen.
Unternehmensübergreifende Zusammenarbeit ist ein weiterer Schritt, die Effizienz des Sicherheitsmanagements zu verbessern. Besonders Industrie-Peers und Unternehmen gleicher Grösse sollten sich beim Thema Informationssicherheit nicht als Konkurrenten verstehen, sondern wechselseitig voneinander profitieren.
Und schliesslich könnten auch Automatisierungsprozesse, die zum Beispiel auf künstliche Intelligenz und Verhaltensanalysen zurückgreifen, helfen, die Ressourcen zu schonen und die Wirksamkeit zu erhöhen. Wenn es dann noch gelingt, die Mitarbeiter einzubinden, ist man einen grossen Schritt weiter.
„Seit den Enthüllungen von Edward Snowden ist ins allgemeine Bewusstsein gedrungen, dass Informationssicherheit die Unternehmen in den nächsten Jahren noch gewaltig herausfordern wird“, sagt Piwinger. „Industrie 4.0., das Internet der Dinge und ähnliche Entwicklungen machen die Unternehmen zu attraktiven Angriffszielen. Cyberattacken werden häufiger und heftiger: Unternehmen müssen lernen, Informationssicherheit höchst effizient zu managen. Die neue EU-Datenschutzverordnung übt einen heilsamen Druck auf die Unternehmen aus, dem kann sich niemand mehr entziehen.“
Artikel von: atkearney.com
Artikelbild: © Jane Kelly – Shutterstock.com
Mehr zu Philipp Ochsner
Philipp Ochsner ist Geschäftsführer der Agentur belmedia GmbH.
