Wer im Unternehmen für die Sicherheit der Daten und Netzwerke zuständig ist, ist häufig unklar.
Perspecsys Photos, Perspecsys.com
Dass IT-Sicherheit Chefsache ist, davon kann in vielen Unternehmen keine Rede sein. Häufig sind die Zuständigkeiten nicht geklärt oder die Verantwortung wird auf Dienstleister geschoben – mit fatalen Folgen.
Kriminelle richten jährlich Millionenschäden durch Datendiebstahl, Spionage und lahmgelegte IT-Systeme an. Doch auch ohne Fremdeinwirkung entstehen Unternehmen vermeidbare Kosten durch Systemausfälle und Datenverlust. Denn in Sachen IT-Sicherheit herrscht in vielen Firmen Uneinigkeit darüber, wer eigentlich für den Schutz der Daten verantwortlich ist.
Weitere Artikel zum Thema |
Laut Verizon entstehen Unternehmen zum Beispiel bis zu fünf Millionen Dollar Schaden pro zehn Millionen verlorengegangener oder gestohlener Datensätze, während Systemausfälle durch DDoS-Angriffe laut Kaspersky je nach Firmengröße 46.000 bis 390.000 Euro verschlingen.
Verantwortung wird abgewälzt
Vor allem zeigen aktuelle Studien eine verblüffende Naivität im Umgang mit der IT-Sicherheit: 40 Prozent der kleinen Unternehmen sehen in einer weltweiten Umfrage von Kaspersky die Verantwortung für die Sicherheit vollständig bei ihrem Internet Service Provider oder Webhoster, während neun Prozent meinen, Sicherheitsbehörden sorgen dafür, dass ihre IT-Systeme geschützt sind. Bei den großen Unternehmen sind es immerhin noch neun Prozent, die die Provider in der Pflicht sehen und zwei Prozent, die die Verantwortung auf staatliche Organe abwälzen. Laut einer internationalen Umfrage von Vanson Bourne finden sogar 13 Prozent der Befragten in Unternehmen, dass die Endanwender selbst für einen verantwortungsbewussten Umgang mit Geschäftsdaten in die Pflicht genommen werden sollten.
Beauftragter für Informationssicherheit ist Mangelware
Tatsächlich liegt die Verantwortung für den Schutz der IT-Ressourcen in der Regel bei den Firmen selbst. Doch die wenigsten Unternehmen haben einen Beauftragten für Informationssicherheit oder Chief Information Security Officer (CISO). In Deutschland sind auch nur 38 Prozent der CIOs konkret mit der IT-Sicherheit betraut, so die Untersuchung von Vanson Bourne. Drei Viertel der Befragten finden immerhin, dass IT-Sicherheit auf Vorstandsebene behandelt werden sollte, während jeder Fünfte die Geschäftsführung in der Verantwortung sieht. Wirklich geklärt ist diese Zuständigkeit oftmals nicht.
Unternehmen sollten auf der Führungsebene oder innerhalb der IT-Abteilung einen Verantwortlichen für die IT-Sicherheit benennen, der mit den nötigen Befugnissen und Budgets ausgestattet ist, und sich nicht blind auf einen Dienstleister verlassen, wenn es um den Schutz ihrer sensiblen Daten geht.