Datenschutz in europäischen Unternehmen: Deutschland nur im hinteren Mittelfeld

Das ist ein Ergebnis einer gemeinsamen europaweiten Studie von Iron Mountain und PwC, die heute auf dem Iron Mountain Information Risk Summit in Madrid vorgestellt wurde. Überraschend schneidet dabei Deutschland ab: Bei dem auf der Erhebung resultierenden europäischen Vergleichsindex (Information Risk Maturity Index) landeten deutsche Unternehmen im Vergleich mit fünf europäischen Ländern nur im hinteren Mittelfeld. Dabei zeigt der Bericht erheblichen Nachholbedarf:

• Nur etwa die Hälfte der mittelständischen Unternehmen zählt den Verlust geschäftskritischer Informationen zu den drei größten Unternehmensrisiken.
• Gerade 24 Prozent der Befragten wussten, ob es in den letzten drei Jahren in ihrem Unternehmen einen Datenschutzvorfall gab.
• Nur ein Prozent der Studienteilnehmer sind der Auffassung, dass alle Mitarbeiter eines Unternehmens mitverantwortlich für Informationssicherheit sind. 60 Prozent hingegen konnten keine Auskunft darüber geben, ob ihren Mitarbeitern das richtige Wissen bzw. die richtigen Mittel zum Schutz von Informationen zur Verfügung stehen.
• Nur 13 Prozent der Unternehmen meinen, dass Informationssicherheit Angelegenheit des Vorstands sein sollte. Dagegen sieht ungefähr ein Drittel (35 Prozent) die Zuständigkeit für Informationssicherheit – sowohl für papierbasierte als auch für digitale Informationen – ausschließlich bei der IT-Abteilung.
• Die Einschätzung von Informationsrisiken als reines IT-Problem ist weit verbreitet: 59 Prozent der Unternehmen reagieren auf eine Datenschutzverletzung mit der Installation zusätzlicher IT-Lösungen.
• Gerade einmal ein Drittel (36 Prozent) der Befragten hat die Verantwortung für die Informationssicherheit einem bestimmten Mitarbeiter oder Team übertragen und evaluiert deren Effektivität regelmäßig.

Warnschuss für Unternehmen

Auf Basis der Ergebnisse des Information Risk Maturity Index hat Iron Mountain einige Schritte und Maßnahmen zusammengestellt, mit denen Unternehmen die Sicherheit ihrer Informationen verbessern können.

• Schritt 1: Informationssicherheit in den Zuständigkeitsbereich des Vorstands
  Der Verlust von Informationen kann für ein Unternehmen Existenz gefährdend sein. Informationssicherheit gehört deshalb zwingend in den Zuständigkeitsbereich des Vorstands beziehungsweise der Geschäftsführung und sollte ein ständiger Punkt auf deren Agenda sein. Es empfiehlt sich, dass ein Vorstandsmitglied explizit die Verantwortung für das Thema übernimmt. Darüber hinaus sollte Informationssicherheit in das Controlling der Unternehmensperformance miteinbezogen werden.
• Schritt 2: Kultur der Informationssicherheit am Arbeitsplatz herstellen
  Unternehmen sollten Maßnahmen zur Sensibilisierung ihrer Mitarbeiter für das Thema Informationssicherheit entwickeln und umsetzen. Dazu sollten regelmäßige, auf einzelne Abteilungen abgestimmte Schulungen gehören. Best Practices und Incentives für den vorbildlichen Umgang mit Informationen können das allgemeine Bewusstsein für Informationssicherheit auf allen Hierarchieebenen erhöhen.
• Schritt 3: Verbindliche Richtlinien
  Unternehmen müssen ihren Mitarbeitern verbindliche Richtlinien für den sicheren Umgang mit Informationen an die Hand geben. Diese sollten alle Datenformate (elektronisch, papierbasiert etc.) abdecken. Außerdem müssen sie Schwachstellen, die sich aufgrund manueller, nicht automatisierter Informationsverarbeitung ergeben, identifizieren. Dazu können auch Möglichkeiten für die Mitarbeiter beitragen, anonym Hinweise auf Verbesserungsmöglichkeiten zu geben. Alle Systeme und Prozesse müssen in regelmäßigen Abständen auf den Prüfstand.

Der Bericht „Beyond cyber threats: Europe’s First Information Risk Maturity Index“ ist ab sofort abrufbar unter www.ironmountain.co.uk/risk-management.

  datenschutz