Information Risk Maturity Index

Mittelstand hat bei Datensicherheit noch Nachholbedarf

24.06.2013 von Thomas Cloer

PricewaterhouseCoopers (PwC) und Iron Mountain haben zum zweiten Mal ihren Reifeindex zum Informationsrisiko (Information Risk Maturity Index) präsentiert.

PricewaterhouseCoopers (PwC) und Iron Mountain haben zum zweiten Mal ihren Reifeindex zum Informationsrisiko (Information Risk Maturity Index) präsentiert.
von Thomas Cloer
Nach schwachen Ergebnissen im Vorjahr stieg der Reifeindex einer Mitteilung zufolge (PDF-Link) aktuell zwar um 16,2 auf 55,8 Punkte von 100 möglichen Punkten. Dennoch seien Unternehmen - trotz einer jährlich 50-prozentigen Zunahme von Datenpannen in Europa - nicht ausreichend auf solche Vorfälle und damit verbundene Informationsverluste vorbereitet, schreiben PwC und Iron Mountain. Angesichts der hohen Strafen bei Verletzungen des Datenschutzes stelle dies vor allem für den deutschen Mittelstand ein untragbares Risiko dar. Deutschland belegt im Information Risk Maturity Index 2013 mit 55,5 Punkten (Vorjahr: 39,7) Rang drei hinter den Niederlanden und Ungarn.

Insgesamt befragte PwC im Auftrag von Iron Mountain 600 leitende Angestellte europäischer Unternehmen mit 250 bis 2500 Mitarbeitern in den Branchen Recht, Finanzen, Pharma und Versicherungen sowie in der Fertigungsindustrie und Maschinenbaubranche; 100 Teilnehmer kamen aus Deutschland.

Datenschutz in Deutschland
Der Prism-Skandal beschäftigt die IT-Branche weiterhin. Wir haben bei Providern wie HP, IBM, Telekom und Google angefragt, wie sie es mit dem Schutz ihrer deutschen Kundendaten halten. Hier kommen die Antworten:

Hewlett-Packard (HP): Werden selten angefragt
„Weder HP global noch HP Deutschland gewähren hier Zugangsrechte zu Kundendaten im Rahmen des „Project Prism“. <br /><br /> Grundsätzlich gilt: In jedem Land werden den staatlichen Sicherheitsbehörden Zugriffsrechte gewährt, wenn die nationale Sicherheit bedroht ist. (…) Anfragen zur Übermittlung von Daten in diesem Kontext beziehen sich zumeist auf Telekommunikationsunternehmen. IT-Infrastrukturanbieter wie HP sind hier äußerst selten betroffen.“

Fujitsu: Deutsche Rechenzentren unterliegen dem deutschen Gesetz.
„Ein Zugriff auf Kundendaten durch Verfolgungsbehörden oder nationale und internationale Geheimdienste wird ausschließlich auf Grundlage eines deutschen Gerichtsbeschlusses gewährt. Die deutschen Rechenzentren unterliegen dem deutschen Datenschutzgesetz, das dies eindeutig regelt. <br /><br /> Da die Muttergesellschaft von Fujitsu Technology Solutions ein japanisches Unternehmen ist, kommt auch der US-amerikanische Patriot Act bei Kunden unseres Unternehmens nicht zur Anwendung.“

Salesforce: Wir ermöglichen keinen Regierungen direkten Zugang.
„Nichts ist für Salesforce.com wichtiger als die Privatsphäre und die Sicherheit der Daten unserer Kunden. Wir sind nicht in das PRISM-Programm involviert und wir ermöglichen keinen Regierungen direkten Zugang zu den Servern von Salesforce.“

Google: Wir prüfen alle Anfragen gewissenhaft.
"Google sorgt sich intensiv um die Sicherheit der Daten unserer Kunden. Wir legen Kundendaten gegenüber den Behörden offen gemäß geltender Gesetze offen, und wir prüfen alle Anfragen gewissenhaft.“

Der Studie zufolge hat eine Datenpanne erhebliche wirtschaftliche Konsequenzen für ein Unternehmen: Über die Hälfte (51 Prozent) der deutschen Unternehmen lehnen Geschäftsbeziehungen mit einer Firma ab, bei der eine Datenpanne aufgetreten ist. Andererseits glauben 35 Prozent, dass Datenverluste ein unvermeidbarer Bestandteil des Tagesgeschäfts sind.

Während 63 Prozent der deutschen Unternehmen einen verantwortungsvollen Umgang mit Informationen als essentiell für den Geschäftserfolg betrachten, sagen 47 Prozent, dass ihr Vorstand dem Thema Datenschutz keine hohe Priorität beimisst. 32 Prozent der Befragten geben an, dass ihre Mitarbeiter dieses Thema ebenfalls für eher unwichtig halten. Weniger als die Hälfte der befragten deutschen Unternehmen (45 Prozent) besitzt eine Informationsrisiko-Strategie und misst deren Effektivität. 41 Prozent planen dies immerhin, sind sich aber unsicher, ob eine solche Strategie auch wirklich funktioniert.

Die folgenden Grundregeln für eine Datensicherung mögen trivial erscheinen, aber überprüfen Sie doch mal Ihr Sicherungskonzept daraufhin ab, ob es diese einfachen Regeln wirklich und vollständig erfüllt:

Daten, die nicht (regelmäßig) gesichert werden, können Sie auch nicht wiederherstellen!

Backups, die nicht mindestens in einem Test erfolgreich wiederhergestellt wurden, verdienen den Namen „Backup“ nicht.

Backup-Lösungen und –Daten, für die niemand in der Firma direkt verantwortlich ist, sind definitiv schlechte bis unbrauchbare Sicherungen.

Sicherungen, die in Sie im gleichen Raum/Gebäude lagern, in dem sich auch Ihre restliche IT befindet, werden einen ernsten Zwischenfall wie Feuer, Überschwemmung und so weiter, sicher nicht überstehen.

Derk Fischer, PwC-Partner im Bereich Risk Assurance Solutions, kommentiert: "Zu viele deutsche Unternehmen unterschätzen den Vermögenswert, den Informationen für sie darstellen. Gleichzeitig überschätzen sie ihre Fähigkeit, Informationen ausreichend zu schützen. Hier geht es nicht länger um fehlendes Bewusstsein, es fehlt an konkretem Handeln. Informationen sind essentiell für den Geschäftserfolg. Der Verlust von Kundendaten etwa kann das Kundenvertrauen und den Ruf einer Marke dauerhaft schädigen. Angesichts der rasch zunehmenden Zahl an Datenpannen sollten sich Unternehmen über ihre Informationsrisiken bewusst werden." (Computerwoche/cvi)