Banken konzentrieren im IT-Bereich auf den "Risikofaktor Mensch"


Gerade für Unternehmen der Finanzindustrie ist die Informationssicherheit existenziell. Galt die IT bislang primär als Risikofaktor, so rückt zunehmend der Mensch in den Fokus. Wie die weltweite „Global Security-Studie“ der Wirtschaftsprüfungs- und Beratungsgesellschaft Deloitte zum Sicherheitsstatus in der internationalen Finanzindustrie ergab, steht für knapp die Hälfte der Befragten aktuell das Risikobewusstsein der Mitarbeiter im Vordergrund. Deutlich sichtbar wurde aber eine Lücke zwischen dem vorhandenen Problembewusstsein der einzelnen Geschäftsbereiche und einer entsprechenden Unternehmensstrategie: Ein Drittel der Befragten verfügt demnach über keine umfassende Sicherheitsstrategie, lediglich zehn Prozent haben die Zuständigkeiten in den Geschäftsbereichen verankert.

Investitionen in die IT-Security unterscheiden sich stark

„Die deutschen wie auch die internationalen Finanzinstitute haben eine hohe technische und organisatorische Professionalität in der IT-Sicherheit erreicht, allerdings zeigt die Studie auch, dass die Investitionsbereitschaft sehr unterschiedlich ist. Von den Unternehmen, die diese Kennziffer ermitteln, geben sieben Prozent mehr als 1.000 US-Dollar pro Mitarbeiter für IT-Sicherheit aus, während elf Prozent es bei weniger als 100 US-Dollar belassen.“, erklärt Sven Hesselbach, Partner im Bereich ERS von Deloitte.

An der Studie beteiligten sich zahlreiche internationale Top-Finanzinstitute, -Banken sowie -Versicherungen. Untersucht wurde vor allem deren Performance in den Bereichen Governance, Investment, Risikomanagement, Sicherheitstechnologie, Qualitätssicherung sowie Datenschutz. Gegenüber den Vorjahren siedelten die Befragten mehrheitlich erstmals diese Themengebiete inhaltlich bei der Geschäftsleitung an. 81 Prozent haben hierfür bereits eine konkrete Information-Security-Governance-Struktur definiert, bei weiteren 18 Prozent befindet sich eine solche momentan in der Entwicklung. Insgesamt 84 Prozent der Unternehmen verfügen über einen Chief Information Security Officer (CISO).

Investitionsschwerpunkt „Mitarbeiter“

Auch die Ausgaben im Bereich Informationssicherheit steigen stetig: 98 Prozent der Befragten haben die entsprechenden Budgets seit dem letzten Jahr erhöht. Aktuell sollen vor allem die Bereiche Identitätsmanagement, Compliance sowie Disaster Recovery und Business Continuity ausgebaut werden. Nachdem jedoch in den letzten Jahren die Investitionen in technische Lösungen immer im Vordergrund standen, wollen jetzt fast die Hälfte aller befragten Finanzinstitute sehr stark Trainings- und Ausbildungsprogramme forcieren.

Insbesondere beim Risikomanagement werden von Finanzinstituten ein besonderes Bewusstsein auf allen Unternehmensebenen und eine besondere Effizienz erwartet. Fast drei Viertel der Unternehmen haben hierzu unterschiedliche Risikolevels klassifiziert, 55 Prozent glauben, dass ihre existierenden Sicherheitsrichtlinien wirksam und praxisgerecht sind. Um die Qualität von Dienstleistungen, Prozessen und Produkten unternehmensübergreifend zu gewährleisten, haben 81 Prozent der  Studienteilnehmer die Zuständigkeiten der Mitarbeiter im Bereich Informationssicherheit klar definiert - allerdings messen nur 50 Prozent die Wirksamkeit dieser Vorgehensweise im Rahmen von Mitarbeiterbeurteilungen.

„In einem Umfeld zunehmender Outsourcing-Aktivitäten ist es  beachtlich, dass annähernd 30 Prozent der befragten Institutionen bei Vertragsabschlüssen mit Dienstleistern keine Klauseln zur Informationssicherheit aufnehmen und nur 22 Prozent unabhängige Sicherheitsaudits bei ihren Dienstleistern durchführen lassen“, zeigt sich Hesselbach besorgt. Ein weiteres herausragendes Thema ist der Datenschutz. Nicht zuletzt durch eine steigende Anzahl von bekannt gewordenen Vorfällen des Datenmissbrauchs ist der Datenschutz mittlerweile zu einem festen Bestandteil des Sicherheitsmanagements geworden. Etwa 70 Prozent der befragten Unternehmen verfügen über Programme zur Sicherstellung der Datenschutz-Compliance, wobei zwei Drittel der Institute einen verantwortlichen Manager für den Datenschutz benannt haben. Anders als in Deutschland sind diese häufig im Bereich der IT-Organisation angesiedelt.

Lücke zwischen Anspruch und Wirklichkeit

Die Mehrheit der befragten Unternehmen aus dem Finanzsektor ist sich der Gefahrenlage durchaus bewusst. „Wir haben jedoch festgestellt, dass immer noch eine deutliche Lücke zwischen Anspruch und Wirklichkeit existiert“, kommentiert Hesselbach. „Trotz eines vorhandenen Bewusstseins auf der Managementebene und einer Vielzahl von Einzelmaßnahmen fehlt es an operativer Übernahme der Verantwortung. Zu viele Geschäftsbereichsleiter halten die Informationssicherheit immer noch für eine Angelegenheit der IT-Abteilung und sehen sich nicht selbst in der Pflicht.“

Die vollständige Studie steht auf der Deloitte-Website unter www.deloitte.de zum Download zur Verfügung.


Risk Academy

Die Intensiv-Seminare der RiskAcademy® konzentrieren sich auf Methoden und Instrumente für evolutionäre und revolutionäre Wege im Risikomanagement.

Seminare ansehen
Newsletter

Der Newsletter RiskNEWS informiert über Entwicklungen im Risikomanagement, aktuelle Buchveröffentlichungen sowie Kongresse und Veranstaltungen.

jetzt anmelden
Lösungsanbieter

Sie suchen eine Softwarelösung oder einen Dienstleister rund um die Themen Risikomanagement, GRC, IKS oder ISMS?

Partner finden
Ihre Daten werden selbstverständlich vertraulich behandelt und nicht an Dritte weitergegeben. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.