Umfassend überwachte Informationsrisikostrategie

Informationen sind für Ihr Geschäft wie die Luft zum Atmen – sie ist unverzichtbar und überall. Sie umfasst Wissen und Lernen, vom System erstellte Daten, Produkt- und Kundeninformationen, die alltägliche Kommunikation, archivierte Dokumente in Papierform sowie das geistige Eigentum des Unternehmens.

Aber mit umfangreicheren, vielfältigeren und verschiedenartigen Geschäftsinformationen entstehen auch Risiken – und zwar weitreichende Risiken, die bei mangelhafter Steuerung beziehungsweise Vermeidung schwerwiegende und geschäftsschädigende Auswirkungen haben können.

Die Bestimmung und das Verständnis dieser Risiken, Bedrohungen und möglichen Auswirkungen sind heute wichtiger als noch vor wenigen Jahren. Sowohl in Europa als auch in Nordamerika reagierte der mittelständische Geschäftsbereich auf die in den Medien umfangreich publizierten Datenschutzverletzungen, Datenlecks und Spionagefälle mit der Einführung organisatorischer Strategien, interner Aktionspläne und Verfahren sowie mit Investitionen in Sicherheitstechnologien und interne Kommunikationsprogramme.

Die Kluft wird immer breiter

Unsere Untersuchungen [1] bis [3] haben trotz dieser positiven und erfreulichen Entwicklungen ergeben, dass die Kluft zwischen den »guten Absichten«, die sich durch angekündigtes Engagement in Form von organisatorischen Richtlinien und internen Programmen auszeichnen, und praktischen Maßnahmen (in der Form einer effizienten Durchsetzung dieser Richtlinien und Programme) immer größer wird.

Das Schließen dieser Kluft sollte ein Hauptanliegen darstellen, weil der mittelständische Unternehmensbereich dadurch einer Vielzahl von Informationsrisiken ausgesetzt wird, die langfristige und möglicherweise nicht wieder gut zu machende Auswirkungen auf dessen Funktionsfähigkeit und wettbewerbstechnischen Vorteile haben könnten.

Und während dieses Gefälle zwischen Absichtserklärungen und den tatsächlichen Maßnahmen zu einem immer größeren werdenden Informationsrisiko beiträgt, werden dadurch darüber hinaus die Möglichkeiten eingeschränkt, wie mittelständische Unternehmen ihre Informationen effizient als wertvollen und möglicherweise marktentscheidenden Vermögenswert einsetzen können.

Weggesperrte Informationen haben keinen Mehrwert

Viele Unternehmen des nordamerikanischen und europäischen Mittelstands sind sich bewusst, dass ihre Informationen einen Mehrwert darstellen. Aber sie sind nicht in der Lage, daraus wettbewerbliches Kapital zu schlagen. Unsere Untersuchungen ergaben, dass der Mittelstand bei der Verwendung seines wachsenden Informationsportfolios zu passiv und protektionistisch agiert, anstatt einen proaktiven und innovativen Ansatz zu verfolgen.

Interessanterweise kann dieses Phänomen unabhängig von Mitarbeiterzahlen oder zur Verfügung stehenden Ressourcen über Grenzen, Industriesektoren, Kontinente und Unternehmen aller Formen und Größen hinweg beobachtet werden, Daher betrifft diese Herausforderung alle.

Unserer Ansicht nach besteht für den Mittelstand großer Bedarf, auf organisatorische Richtlinien und Ziele auch tatsächliche und umsetzbare Maßnahmen folgen zu lassen. Die Mehrheit der mittelständischen Unternehmen ist nämlich weder ausreichend gut geschützt noch ist sie in der Lage, ihre Daten/Informationen in vollem Umfang zu nutzen.

Die wichtigsten Erkenntnisse dieser Studie:

  • Der Risikoindexwert, der eine Auswahl von europäischen und nordamerikanischen mittelständischen Unternehmen berücksichtigt, liegt bei 55,3 Punkten (bei einem Idealwert von 100,0).
  • Ein Wert von 55,3 Punkten liegt innerhalb des Indexbereichs, den wir als »Risiko ist bekannt« bezeichnen. Dies ist typisch für Unternehmen, die sich des Bedarfs von Risikomanagement bewusst geworden sind, aber sich nicht im Klaren darüber sind, wie sie dieses Problem in Angriff nehmen sollen beziehungsweise schlecht dafür ausgerüstet sind.
  • Es ist unter anderem dieser Mangel an ordentlich umgesetzten und überwachten Maßnahmen, Richtlinien und Verfahren, die den Mittelstandsmarkt davon abhalten, einen »reiferen« Zustand zu erreichen.
  • Nur 37 % der europäischen und 47 % der nordamerikanischen Unternehmen verfügen über eine umfassend überwachte Informationsrisikostrategie. Dabei sollte eine solche das Fundament darstellen, auf dem geeignete Schutzmaßnahmen aufbauen können – und trotzdem wird dies von mehr als der Hälfte der mittelständischen Unternehmen nicht befolgt.
  • Nur 26 % der europäischen und 20 % der nordamerikanischen Unternehmen bereiten ihre Schulungsprogramme zum Thema Informationsrisiko nach, um herauszufinden, wie wirksam sie waren.
  • Wenn es um die Zuteilung von Verantwortung und Fachkompetenz geht, sehen 46 % der europäischen und 32 % der nordamerikanischen Unternehmen die Letztverantwortung für Informationsrisiken beim IT Security Manager. Und wenn gefragt wird, bei wem diese Allgemeinverantwortung liegen sollte, dann steigen die Werte sogar auf 73 % beziehungsweise 74 % an. Dies beschränkt unserer Ansicht nach die Fähigkeit von Unternehmen, Risiken vorherzusehen und auf diese in vollem Umfang und unter Einsatz aller Ressourcen zu reagieren – und zwar über die IT-Abteilung hinaus.
  • Mehr als die Hälfte der Unternehmen glauben nicht, dass innerhalb ihrer Belegschaft Defizite hinsichtlich des Managements von Informationsrisiken bestehen. Dies scheint nicht nur übermäßig optimistisch sondern spiegelt zudem das mangelnde Verständnis über die erforderlichen Kapazitäten wider, die sowohl für den Schutz als auch die optimale Nutzung von Geschäftsinformationen notwendig sind.
  • 87 % der europäischen und 80 % der nordamerikanischen Unternehmen glauben nicht, dass ehemalige Mitarbeiter betriebsinterne Informationen zu einem neuen Arbeitgeber mitgenommen haben. Dies kann bestenfalls als Optimismus gewertet werden. Im schlimmsten Fall wird dadurch abermals die Naivität unter Beweis gestellt, mit der geglaubt wird, dass Informationen jeder Art und deren Vertraulichkeit nicht aktuellen oder zukünftigen Mitarbeitern auf eine Weise ausgesetzt wären, die den Konkurrenten Vorteile bringen beziehungsweise eine Bedrohung darstellen könnten.

 

Um die beiden wichtigsten Ziele – ausreichender Schutz und optimale Nutzung von Geschäftsinformationen – erreichen beziehungsweise übertreffen zu können, muss sich der Mittelstand mit mehreren Themen auseinandersetzen.

Schließen der Lücke zwischen Absichtserklärungen und durchsetzbaren Maßnahmen

Organisatorische Strategien, Mitarbeiterinitiativen, Kommunikationsprogramme und Sicherheitsverfahren müssen überarbeitet, getestet, bewertet, verbessert und vollständig verstanden werden, um wirkungsvoll zu sein.

Die mittelständische Führungsebene muss die Verantwortung für Informationsrisiken in geeigneter Form zuweisen und koordinieren

Informationen können sichtbar oder unsichtbar, physisch oder elektronisch, online oder in Papierform vorliegen; daher muss die Führungsebene koordinieren, wie diese verwaltet beziehungsweise optimiert werden, damit alle Beteiligten wissen, worin ihre Aufgabe besteht und welche potenziellen Auswirkungen eine Nichtbefolgung haben könnte.

Informationen können für Unternehmen nur dann einen Mehrwert darstellen, wenn diese ordentlich verwaltet und auf effiziente Weise genutzt werden. Dafür sind eine ordentliche Überwachung der bestehenden Kapazitätsdefizite, die Bereinigung dieser Defizite und eine geeignete Zuteilung von Kapazitäten erforderlich.

Das Management und die Optimierung von Informationen sollte nicht hauptsächlich in den Händen von IT-Experten liegen. Daten müssen in größerem Umfang mit Analysten und Innovatoren aller Unternehmensbereiche geteilt werden.

Das Vertrauen in die Mitarbeiter sollte durch überprüfte und kontrollierte Verfahren abgesichert und verstärkt werden.

Investitionen in sichere Hardware sowie in Schutz- und Schlüsseltechnologien (»Enabling Technology«) sind von großer Bedeutung. Allerdings sollte dies durch Verfahren zur Überwachung und Kontrolle von Personen/Mitarbeitern verstärkt werden, um Bedrohungen zu begegnen, die ihren Ursprung innerhalb des Unternehmens haben und die oft die gewöhnlichsten und schädlichsten Gefahrenquellen darstellen.

___________________________________

[1] PwC befragte im Auftrag von Iron Mountain leitende Angestellte in 600 europäischen und 600 nordamerikanischen Unternehmen mit 250 bis 2.500 Mitarbeitern sowie 600 Firmen auf beiden Kontinenten mit bis zu 100.000 Angestellten in folgenden Wirtschaftsbranchen: Recht, Finanzen, Pharma, Versicherungen, Energie, Fertigungsindustrie und Maschinenbau.

[2] Der Reifeindex zum Informationsrisiko ist eine Kennzahl, die angibt, inwiefern Unternehmen ein geeignetes Schutzniveau zur Verringerung von Informationsrisiken – beispielsweise Datenverluste, Cyber-Angriffe oder Industriespionage – besitzen. Außerdem wird untersucht, wie Firmen auf wichtige Trends wie Big-Data, Cloud-Storage und BYOD (Bring Your Own Device) reagieren. Bei einem Maximalwert von 100 sind Unternehmen vollständig auf Informations-Risiken vorbereitet.

[3] Opinion Matters für Iron Mountain, Februar 2014. Opinion Matters befragte 1257 Büroangestellte aus Großbritannien, Frankreich, Deutschland, Spanien und den Niederlanden, die entweder in der Fertigungsindustrie, der Rechtsbranche, dem Finanzsektor, der Pharmaindustrie oder dem Versicherungswesen tätig sind. Die Studie wurde zwischen 10.01.2014 und 22.01.2014 durchgeführt.