Biete: Know-how in Sicherheit und Compliance

So fasst es eine Studie der London School of Economics (LSE) zusammen, die im Auftrag von McAfee IT-Leiter, Sicherheitsverantwortliche, CIOs und CFOs aus der Finanzbranche befragt hat. Kompetenztträger sind rar und es fehlen Mittel sowie Zeit, um notwendige Veränderungen in der IT-Infrastruktur umzusetzen.

Dass es einem Unternehmen schadet, wenn mangels ausreichender Sicherheitsstruktur Daten verloren gehen, ist inzwischen allen klar, selbst der Chefetage dürfte das nicht verborgen geblieben sein. Und doch bleibt es nahezu unmöglich, die Entscheider davon zu überzeugen, noch mehr Geld locker zu machen und den IT-Verantwortlichen weitere Ressourcen zu gewähren.

Die stehen nämlich laut der Studie ‘International Perspectives on Information Security Practices’ vor einem Dilemma. Denn sie müssen den wachsenden Compliance-Anforderungen gerecht werden und dürfen gleichzeitig nicht die steigenden Risiken im Sicherheitsbereich außer Acht lassen. In der Praxis kann das aber dazu führen, so das Ergebnis der Umfrage, dass Unternehmen vor lauter Compliance keine Zeit mehr haben, sich um die IT-Security zu kümmern. Warum?

Weil alle über Revisionsregeln reden, deren Umsetzung nachprüfbar ist und sie direkte Konsequenzen beschreiben. Bei Basel II beispielsweise gewährt die Bank im Zweifel keinen Kredit. Firewalls oder Zugangskontrollen sind zwar ebenso nachprüfbar, deren Fehlen hat aber juristisch gesehen zunächst keine unmittelbaren Folgen. Hinzu kommt, dass die Kosten für die Umsetzung der Revisionsregeln und deren Überwachung soviel Geld verschlingt, dass nichts für die Sicherheit übrig bleibt.

Und dann wäre da das Spezialisten-Problem. Nur wenige IT-Sicherheitskräfte seien in der Lage, Compliance und IT-Security unter einen Hut zu bringen, sprich zu verwalten und auf dem neuesten Stand zu halten, fand die Studie heraus. Verlieren Firmen durch Personalabgänge solche hausintern verfügbaren Kompetenzen, tun sie sich oft schwer, auf dem Arbeitsmarkt oder über Outsourcing-Modelle gleichwertigen Ersatz zu finden, lautet ein Ergebnis der Studie.

Dass Compliance im Unternehmen jedoch auch nicht kleingeredet werden darf, wissen die meisten ebenfalls. CIOs und EDV-Leiter sind sich laut Umfragen einig, dass Compliance eine immer wichtigere Rolle spielt, und zwar auch für die IT-Sicherheit. Diese beiden Geschäftskomponenten zusammenzubringen ist nicht nur aus der genannten Finanz- und Kompetenznot schwierig.

Das hat mehrere Gründe. So liegt die Verantwortung für beide Bereiche oft in den Händen unterschiedlicher Mitarbeiter, die sich im schlechtesten Fall nicht absprechen und aneinander vorbeiverwalten. Ein Team aus Spezialisten, die beides können, könnte da ein Ausweg sein. Und wegen des hohen Aufwandes, beides im Auge zu behalten, schieben manche Geschäftsführer dem Treiben gleich einen Riegel vor.

Die Augen hiervor zu verschließen, sei aber grundverkehrt, warnt der Autor der Studie und Dozent an der LSE, Dr. Jonathan Liebenau. Das beste Beispiel für den direkten Zusammenhang zwischen IT-Sicherheit und Compliance sei die Pflicht, die Öffentlichkeit über etwaige Sicherheitsverletzungen zu informieren. In den USA ist ein entsprechendes Gesetz seit 2004 in Kraft. Bislang hatte es für Firmen bei der Verletzung der Pflicht außer einem Image-Schaden kaum Konsequenzen. Vor allem im Finanzsektor sieht der Rufschaden so aus, dass beispielsweise Bankkunden das Institut wechseln, wenn sie von einem Verstoß gegen Sicherheitsvorgaben gehört haben.

Laut Liebenau schwappt die Informationspflicht auch zunehmend über den großen Teich nach Europa. “Das hat erhebliche Auswirkungen auf die Einstellung von Verbrauchern, Unternehmen und Behörden zum Umgang mit Daten”, resümierte er.