Jedes zweite Unternehmen ignoriert behördlich vorgeschlagene IT-Sicherheitsstandards und geht dabei ein erhebliches Risiko ein. Gelangen zum Beispiel hochvertrauliche Daten von Kunden ungewollt an die Öffentlichkeit, entsteht nicht nur ein Wettbewerbsnachteil für das betroffene Unternehmen. Wird von Behörden nachgewiesen, dass sich ein Geschäftsführer Sicherheitsvorgaben wissentlich nicht zu Herzen genommen hat, drohen zudem Strafen bis hin zu Schadenersatzforderungen. "Sicherheitskonzepte des Bundesamts für Sicherheit in der Informationstechnik plädieren lediglich dafür, geeignete Maßnahmen zur Risikovermeidung zu treffen. Dies ist eine zu dehnbare Formulierung", erklärt Hans Zeger, Obmann der Arge Daten.
Laut dem Experten sei es für Institutionen wie beispielsweise öffentliche Verwaltungen, wo mit Kundendaten umgegangen wird, sinnvoll, bestimmte Mindestvorgaben in Hinblick auf IT-Security zu geben. "Auch mit dem sogenannten IT-Sicherheitshandbuch für Österreich existieren keine Vorschriften, sondern lediglich Empfehlungen", fügt Zeger hinzu. Wie die aktuelle Erhebung "IT-Security 2008" der Steria Mummert Consulting ergab, hat sich der Anteil der vorsorgenden Betriebe im abgelaufenen Jahr im Vergleich zu 2007 noch immer nicht erhöht. IT-Insider führen diese Negativentwicklung aber nicht primär auf die durch einen Ausbau der IT-Infrastruktur anfallenden Finanzbelastungen zurück.
"Geld spielt zwar eine wichtige, aber bei diesem Thema fast nie zentrale Rolle. Was ich seit einigen Jahren beobachte, ist, dass Investitionen von Unternehmen in ihre IT-Struktur häufig in die falsche Richtung gehen. So werden einzelne analysierte Probleme oft übertrieben stark abgesichert, an einem umfassenden Gesamtkonzept hapert es jedoch", unterstreicht Zeger. Wie die Steria-Mummert-Consulting-Studie zudem anführt, liegt der Anteil der Unternehmen, die ein IT-Risikomanagement besitzen, das die Vorsorgegebote des Bundesamts für Sicherheit in der Informationstechnik erfüllt, bei nur rund einem Drittel und damit nahezu unverändert gegenüber 2007. Kaum überraschend, da Gesetzeszwang zum Aufbau einer unternehmensweiten IT-Sicherheitsarchitektur existiert.
In Hinblick auf die gesetzliche Lage der Handlungs- und Haftungsverpflichtungen innerhalb der Bundesrepublik ist vor allem das Gesetz zur Kontrolle und Transparenz bei Unternehmen (KonTraG) zu nennen. Zudem besteht im Bundesdatenschutzgesetz eine weitere Grundlage für Schadenersatzansprüche gegen Unternehmen. Demnach sind sowohl alle erhobenen als auch genutzten Kundendaten durch organisatorische und technische Schutzmaßnahmen zu sichern. "Firmen, die Kontrollsysteme eingeführt haben, reduzieren ihr Schadenersatzrisiko", sagt Wolfgang Nickel, IT-Sicherheitsexperte bei Steria Mummert Consulting. Dem Experten nach würden zusätzliche IT-Sicherheitsmaßnahmen das Kundenvertrauen fördern, was gerade in wirtschaftlich schwierigen Zeiten wie diesen einen Imageschaden vermeiden könnte. (pte/rw)