Haftungsrisiken für die Geschäftsleitung bei IT-Sicherheit
Häufig weiß die Geschäftsführung weder über Cyber-Angriffe noch über IT-Sicherheitsrisiken Bescheid. Trotzdem werden vielfach Geschäftsführer dafür verantwortlich gemacht, so die Ergebnisse einer Studie im Auftrag von VMware.
Obwohl die Geschäftsführung kaum über Datenlecks, Datenverluste oder Sicherheitslücken informiert wird, liegt die Verantwortung häufig in der Unternehmensleitung. Nur ein kleiner Teil der Geschäftsführer beschäftigt sich aktiv mit dem Thema Cybersecurity. Und knapp ein Drittel der IT-Verantwortlichen sieht bei Schäden durch Cyber-Attacken oder Datenverlusten die Geschäftsführung in der Verantwortung, wie aus einer gemeinsamen Studie des Virtualisierungsspezialisten VMware und der Economist Intelligence Unit hervorgeht.
Etwa 22 Prozent der IT-Verantwortlichen gibt in der Umfrage zudem an, die Geschäftsleitung nicht über drohende Cyber-Attacken oder Sicherheitslecks zu informieren. Eine Folge dieser, wie es von VMware heißt “inkonsequenten” Informationspolitik ist, dass die Geschäftsführung IT-Sicherheit nicht als Bestandteil der Unternehmensstrategie sehen. Lediglich 11 Prozent der deutschen CEOs messen der IT-Sicherheit Bedeutung zu. Auch in anderen europäischen Ländern ist IT-Sicherheit kein hoch priorisierter Themenbereich.
“Die Diskrepanz zwischen Geschäftsführern und IT-Entscheidern ist charakteristisch für die großen Herausforderungen, vor denen Unternehmen heute stehen”, kommentiert Annette Maier, Deutschlandchefin von VMware die Studienergebnisse. So müssten Unternehmen in immer kürzeren Innovationszyklen neue Produkte auf den Markt bringen und im internationalen Wettbewerb auch eine hohe Innovationskraft an den Tag legen. Gleichzeitig sollte der Bereich IT-Sicherheit größeres strategisches Gewicht bekommen, um “Daten als wichtigstes Unternehmensgut in einer digitalen Welt gegen die zunehmenden Bedrohungen schützen zu können”.
Weil auch Hacker den Wert von Daten erkennen, wachse die Bedrohung durch Cyber-Attacken. Auch das zeige sich in der aktuellen Studie: 32 Prozent der Befragten CIOs gehen inzwischen davon aus, dass das eigene Unternehmen in den nächsten 90 Tagen Opfer einer Cyber-Attacke wird. Und ebenfalls Rund ein Drittel der CIOs sieht das eigene Unternehmen schlecht auf die erhöhte Frequenz und auch die ausgefeilten neuen Angriffsmethoden vorbereitet. Die meisten IT-Fachkräfte nennen veraltete Sicherheitskonzepte und die Unfähigkeit, schnell und adäquat auf neue Bedrohungslagen reagieren zu können, als Grund.
Auch bei Verstößen durch Mitarbeiter haben viele Unternehmen keine geeigneten Mittel. 56 Prozent der IT-Entscheider sehen laut Studie die Datensicherheit durch Mitarbeiter bedroht. Denn Angestellte, so die Sichtweise der IT-Verantwortlichen, verfügen über wenig Bewusstsein hinsichtlich Datensicherheit und es mangele ihnen auch an ausreichenden Technologiekenntnissen. Als wichtigste Bedrohung sehen 35 Prozent der IT-Verantwortlichen jedoch das Thema BYOD – also private mobile Geräte wie Smartphones und Tablets, die am Arbeitsplatz und für die Arbeit von den Mitarbeitern genutzt werden.
“IT-Sicherheit ist nicht nur eine Frage der Technologie. Die Studie zeigt, dass Entscheidungen und Verhaltensweisen von Mitarbeitern eine große Auswirkung auf die Integrität eines Unternehmens haben”, ergänzt Joe Baguley, CTO bei VMware. Verbote seien hier jedoch wenig zielführend. “Smarte Unternehmen fördern ihre Mitarbeiter und versuchen nicht, sie einzuschränken”, so Baguley weiter. Statt dessen empfiehlt der VMware-CTO einen Software-definierten Ansatz, der Unternehmen Flexibilität und gleichzeitig Sicherheit auf Architekturebene ermögliche.
Für die Studie befragte Vanson Bourne in Telefon- und Online-Interviews im März dieses Jahres 1700 IT-Entscheidungsträger sowie 3500 Angestellte unter anderem in Großbritannien, Frankreich, Deutschland, den Niederlanden, Belgien und Italien.
