Von der Informationssicherheit im Ganzen

Fehlende Risikomanagement-Strategie als Ursache für Datenskandale


Redaktion RiskNET
News

Datenskandale, Land auf Land ab. Gestohlene oder vergessene Informationen machen seit Monaten die Medienrunde und die Meldungen darüber reißen nicht ab. Eine Ursache: Viele Unternehmen verfügen über keine klare Risikomanagementstrategie. So sind nach Schätzungen der Wirtschaftsprüfungsgesellschaft KPMG International der überwiegende Teil der weltweiten Datenvorfälle auf Organisations- und Überwachungsversagen zurückzuführen. Die Folge sind neben dem Informationsabfluss, Millionenschäden, rechtliche Konsequenten sowie enorme Reputationsschäden für die betroffenen Unternehmen. "Für eine tragfähige Risikostrategie braucht es ein eindeutiges Zusammenwirken von Securitylösungen, der Unternehmenskultur und dem Mitwirken jedes einzelnen Mitarbeiters", weiß Jörg Asma, Partner im Bereich IT-Advisory bei der KPMG AG, zu berichten.

Eine Vorreiterrolle sollten in diesem Zusammenhang Vorstände und Aufsichtsräte einnehmen, die für eine klare Risikomanagementstrategie stehen sollten. Nicht ohne Grund weiß Jörg Asma: "Die persönliche Verantwortung und das individuelle Haftungsrisiko sind für Vorstände, Geschäftsführer und Aufsichtsräte weitreichender als zumeist angenommen. Durch die vielfältigen Modifikationen der gesetzlichen Rahmenbedingungen, wie zuletzt im Bilanzrechtsmodernisierungsgesetz (BilMoG), hat sich die Verantwortung im Rahmen des Risikomanagements kontinuierlich verschärft." Die hervorgehobene Verantwortung des Managements im Zusammenhang mit BilMoG erklärt sich unter anderem aufgrund der regelmäßigen Überwachungspflicht. So reicht es beispielweise nicht aus, dass nur Sicherheitsstrukturen im Auftrag der Geschäftsführung in der eigenen Organisation etabliert werden. Vielmehr kommt es vor allem auf die Überwachung der Prozesse und die Wirksamkeit der jeweiligen Strukturen im Bereich des Informationssicherheits-Managements an. Typischerweise findet man vor allem im Top-Management eine hohe Bereitschaft, die jeweiligen Prozesse zu etablieren und deren Funktionsfähigkeit sicherzustellen. Eine neue Herausforderung entsteht zudem dadurch, dass auch die prüfenden Institutionen innerhalb des Unternehmens einzubinden sind, wie zum Beispiel die interne Revision.


Eine besondere Gruppe im Unternehmen stellt das mittlere Management dar. Diese Mitarbeitergruppe ist meist nicht in der Position strategische Ziele des Unternehmens zu gestalten und zu beschließen. Das mittlere Management ist jedoch entscheidend mitverantwortlich für den Erfolg des Projektes, da es maßgeblich die Prozessqualität beeinflusst.

Letztendlich funktioniert die Etablierung einer weitreichenden Risikomanagementstrategie aber nur durch die Mithilfe aller Mitarbeiter. Das heißt, der Schutz von Informationen muss in allen Organisationsbereichen greifen und als Teil der Unternehmenskultur verstanden werden. Von der Initialzündung durch die Geschäftsführung bis zur Umsetzung und Überwachung in der gesamten Organisation.





Data loss barometer

KPMG International bringt in regelmäßigen Abständen den "Data loss barometer" heraus. Die weltweit durchgeführte Studie erscheint seit 2005 und stellt inhaltlich die Ursachen und Auswirkungen von gestohlenen oder verlorenen Daten dar. Unter der Mitwirkung unterschiedlicher KPMG-Gesellschaften (darunter Deutschland und UK) stammt die letzte Ausgabe aus dem Spätjahr 2009. Die Ergebnisse: Weltweit sind 700 Millionen von Datendiebstahl oder -verlust betroffen. Alleine im ersten Halbjahr 2009 waren es rund 110 Millionen Menschen weltweit. Hauptursache ist der KPMG-Studie zufolge mit 20 Prozent ein Informationsdiebstahl oder der PC-Verlust. Hinzu kommen Datenverluste über das Internet und Netzwerke mit rund 14 Prozent sowie das menschliche Versagen mit 12 Prozent. Weitere alarmierende Zahlen: 38 Prozent der Datendiebstähle oder des Verlusts betrafen persönliche Userinformationen, wie zum Beispiel Adressen. 26 Prozent Identifikationsnummern und 25 Prozent Regierungseinrichtungen, die damit zu den unsichersten Bereichen zählen. Zudem stieg im ersten Halbjahr 2009 die Zahl der Fälle im Zusammenhang mit Datendiebstählen oder -verlusten von Kontodaten um 12 Prozent. Ein weiteres Problemfeld stellen nach Studienergebnissen die eigenen Mitarbeiter dar. In diesem Umfeld kam es zu einem Anstieg von Datenverlusten um rund 68 Prozent gegenüber dem Vorjahr.

Weitere Informationen zum Thema Risikomanagement und der Studie "Data loss barometer" unter: www.kpmg.de


[Bildquelle: iStockPhoto]

Kommentare zu diesem Beitrag

Guillaume /25.02.2010 05:57
Leider zeigt sich, dass auch externe Sicherheitsdienstleister nicht immer das halten, was sie versprechen und somit Datendiebstähle nicht verhindern können. Z.B. stellte der TÜV Süd für den Büchershop "Libri" ein "S@fer Shopping"-Zertifikat aus, ein 2009 dort aufgedecktes Datenleck offenbarte jedoch, dass der TÜV die laienhaft programmierte Shopsoftware nicht wirklich überprüft hatte. Es bestand Zugriff auf alle Rechungen der Kunden der letzten 16 Monate.
Kritische Anwendungen sollten also immer wieder auf den Prüfstand gestellt werden, ein einmalig erhaltenes Siegel ist noch lange kein Freifahrtsschein.
Risk Academy

Die Intensiv-Seminare der RiskAcademy® konzentrieren sich auf Methoden und Instrumente für evolutionäre und revolutionäre Wege im Risikomanagement.

Seminare ansehen
Newsletter

Der Newsletter RiskNEWS informiert über Entwicklungen im Risikomanagement, aktuelle Buchveröffentlichungen sowie Kongresse und Veranstaltungen.

jetzt anmelden
Lösungsanbieter

Sie suchen eine Softwarelösung oder einen Dienstleister rund um die Themen Risikomanagement, GRC, IKS oder ISMS?

Partner finden
zum Seitenanfang