Das allgemeine Bedrohungspotenzial wächst von Jahr zu Jahr. Kommt noch menschliches Versagen hinzu, stellt dies in einer Welt, in der Informationen rasend schnell verbreitet und die zu verarbeitenden Daten immer komplexer werden, eine ernst zu nehmende Gefahr für Firmen dar. Ein Unternehmen, das seine Informationen nicht ausreichend schützt, kann den Ruf seiner Marke dauerhaft aufs Spiel setzen. Auch aus rein rechtlichen Gesichtspunkten besteht hier oft noch Unklarheit.
Darüber hinaus haben Unternehmen immer öfter damit zu kämpfen, ihre Archiv-Altlasten angesichts der rasch anwachsenden Datenmengen in den Griff zu bekommen. Das Informationsrisiko steigt dabei exponentiell. Ein Bericht von PwC und Iron Mountain zeigt erhebliche Unterschiede in der Art, wie jüngere und ältere Unternehmen Informationsrisiken wahrnehmen und damit umgehen. Dabei gewährt jede Seite der anderen jeweils interessante Einblicke.
Notfallpläne und Strategien für den Fall des Falles
Knapp die Hälfte (49 Prozent) der jüngeren Firmen in Europa - also jene, die zwischen zwei und fünf Jahren im Geschäft sind - geben freiwillig zu, dass sie im operativen Geschäft viel besser sind als in der strategischen Planung. Dagegen wissen Firmen, die seit einem Jahrzehnt oder länger bestehen, eher, dass es nicht nur darauf ankommt, wie man etwas tut, sondern auch, warum. Mehr als die Hälfte dieser Unternehmen (56 Prozent) besitzt eine Informationsrisiko-Strategie, die auch regelmäßig kontrolliert wird, verglichen mit nur 14 Prozent der jüngeren Firmen.
Mitarbeiter und sensible Daten
Jüngere Unternehmen vertrauen ihren Mitarbeitern weitaus mehr, wenn es um ihre Daten geht. Nur 18 Prozent der europäischen Unternehmen denken, dass ihre Mitarbeiter eine Gefahr für die Informationssicherheit darstellen, und nur die Hälfte von ihnen besitzt einen Verhaltenskodex für ihre Belegschaft. Im Gegensatz dazu stehen 42 Prozent der älteren Firmen, die Mitarbeiter als eine Gefahr für ihre Informationen betrachten, wobei jedoch zwei Drittel von ihnen einen Verhaltenskodex für ihre Angestellten besitzen. Wenn eine gewisse Vorsicht also zu einem umsichtigeren Verhalten oder zu unternehmensinternen Vorgaben oder Trainingsprogrammen führt, dann sollte man dieses vorsichtige Verhalten auch fördern.
Auf Sicherheitsrisiken vorbereitet sein
In älteren Unternehmen ist die Wahrscheinlichkeit für das Vorhandensein eines unternehmensinternen Wiederherstellungsplans dreimal wahrscheinlicher (66 Prozent) als bei jüngeren Firmen (27 Prozent). Ohne einen solchen Plan könnte ein Unternehmen einer Datenpanne oder anderen Formen von Informationsverlusten ausgesetzt sein, von denen es sich nie wieder erholt.
Monitoring der Sicherheitsmaßnahmen
Die Studie zeigt auf, dass bei älteren Firmen eine rund zweimal höhere Wahrscheinlichkeit für ein Monitoring besteht, das die Effektivität der eingeführten Maßnahmen überprüft. Dies bedeutet im Umkehrschluss, dass jüngere Firmen durch ein fehlendes Monitoring Ressourcen verschwenden oder lediglich Alibimaßnahmen ergreifen, die keine oder nur eine geringe Auswirkung auf die Risikoreduzierung haben.
Informationsrisiken sollten zum Vorstandsthema werden
Die Hälfte der jungen Unternehmen gibt an, dass ihr Vorstand dem Thema Informationssicherheit keine hohe Priorität beimisst, wogegen die Vorstände in erfahreneren Unternehmen dem Thema Informationsrisiken weitaus mehr Beachtung schenken. Damit also das Thema Informationsrisiko ernst genommen wird, muss es Unterstützung durch die Geschäftsführung erhalten.
Alle sollen sich mit Informationsrisiken auseinandersetzen
Obwohl sie ihren Mitarbeitern mehr vertrauen, geben 52 Prozent der jüngeren Unternehmen an, dass die Belegschaft dem Thema Datenschutz keine hohe Beachtung schenkt. Diese Firmen sind, so wie es scheint, eher geneigt, Menschen zu vertrauen, die sich über die Sicherheit der Unternehmensinformationen nicht so große Gedanken machen. Zwei Drittel der befragten reiferen Unternehmen geben an, dass Mitarbeiter über das Thema Informationssicherheit besorgt sind. Dies sind interessante Punkte, die sowohl alte als auch junge Unternehmen beachten sollten:
Informationen in hybrider Form sind heutzutage nicht mehr wegzudenken
Jüngere Unternehmen fühlen sich eher wohl, ihre strukturierten und unstrukturierten Informationen in digitaler und in physischer Form über mehrere Standorte hinweg zu verwalten (55 Prozent jüngerer Firmen, verglichen mit 38 Prozent älterer Firmen). Daten, die in mehreren Formaten an mehreren Orten vorliegen, stellen heutzutage die Realität dar. Es wird keinen Weg zurück geben, diese Entwicklung macht vor keinem Unternehmen halt.
Social Media in Unternehmen beachten
Die Grenzen zwischen der persönlichen und der geschäftlichen Verwendung von Sozialen Medien werden immer durchlässiger und stellen für unachtsame Unternehmen einen potenziellen datenschutzrechtlichen Albtraum dar. Die generelle Unübersichtlichkeit und Unsicherheit über den Umgang mit Sozialen Medien spiegelt sich auch in den sehr verschiedenen Herangehensweisen und Einstellungen wider, die in der Studie herausgestellt wurden. So fand die Untersuchung zum Beispiel heraus, dass mehr als die Hälfte (59 Prozent) der jüngeren Unternehmen die Verwendung von Sozialen Medien durch ihre Mitarbeiter überwachen. Im Vergleich dazu tun dies nur 36 Prozent der älteren Firmen. Jüngere Unternehmen schenken Facebook eine wesentlich höhere Aufmerksamkeit (73 Prozent), wogegen bei älteren Firmen die Wahrscheinlichkeit doppelt so hoch ist, dass die Aktivitäten auf LinkedIn überwacht werden (67 Prozent). Interessanterweise kehrt sich dieses Verhaltensmuster bei Bewerbungsverfahren um: Ein Drittel der älteren Unternehmen (31 Prozent) überprüft seine Kandidaten anhand von Facebook, bei jüngeren Firmen tun dies nur 10 Prozent. 82 Prozent der jüngeren Firmen überprüfen ihre Kandidaten anhand ihrer Einträge auf LinkedIn, verglichen mit nur 46 Prozent bei den älteren Unternehmen. Inwiefern von einer dieser Vorgehensweisen wertvolle Einsichten gewonnen werden konnten, bleibt allerdings unklar.
Datenpannen beschädigen Ruf der Marke
Alle Unternehmen sind sich einig, dass die Auswirkungen einer Datenpanne sowohl die Kundentreue (58 Prozent für alte und junge Firmen) als auch den Ruf der Marke (52 Prozent für alte und junge Firmen) betreffen, jedoch ist bei älteren Unternehmen die Wahrscheinlichkeit doppelt so hoch, dass man sich um finanzielle und rechtliche Konsequenzen sorgt.
Risiken richtig abschätzen
Nur drei Prozent der jüngeren Unternehmen, verglichen mit 28 Prozent der älteren Firmen, würden ausdrücklich der Aussage zustimmen, dass Kostenreduktion wichtiger ist als die Minimierung von Risiken. Vielleicht liegt dies daran, dass zwei Drittel der älteren Unternehmen glauben, das Risiko von Datenpannen sei niedrig. Im Vergleich dazu glauben dies ein Drittel der jüngeren Firmen. Dies mag damit zusammenhängen, dass sie sich auch von den fortwährend steigenden Risiken durch Datenpannen und dem unablässigen Tempowechsel überfordert fühlen. (hal)