Sicherstellung der Datenschutz-Compliance

Deloitte-Studie: Aktuell sollen Identitätsmanagement, Compliance sowie Disaster Recovery und Business Continuity gefördert werden - Ein weiteres herausragendes Thema ist der Datenschutz
81 Prozent haben bereits eine konkrete Information-Security-Governance-Struktur definiert – Wermutstropfen: Problembewusstsein für Sicherheitsrisiken ist trotz hoher Investitionen noch nicht in den Geschäftsbereichen angekommen

(05.10.07) - Die Informationssicherheit ist gerade für Unternehmen der Finanzindustrie existenziell. Galt bislang die Informationstechnologie als primärer Risikofaktor, so rückt zunehmend der Mensch in den Fokus. Wie die weltweit angelegte "Global Security-Studie" von Deloitte zum Sicherheitsstatus in der internationalen Finanzindustrie ergab, steht für knapp die Hälfte der Befragten aktuell das Risikobewusstsein der Mitarbeiter im Vordergrund.

Deutlich sichtbar wurde aber eine Lücke zwischen dem vorhandenen Problembewusstsein der einzelnen Geschäftsbereiche und einer entsprechenden Unternehmensstrategie: Ein Drittel der Befragten verfügt über keine umfassende Sicherheitsstrategie, lediglich zehn Prozent haben die Zuständigkeiten in den Geschäftsbereichen verankert.

"Die deutschen wie auch die internationalen Finanzinstitute haben eine hohe technische und organisatorische Professionalität in der IT-Sicherheit erreicht, allerdings zeigt die Studie auch, dass die Investitionsbereitschaft sehr unterschiedlich ist.

Von den Unternehmen, die diese Kennziffer ermitteln, geben 7 Prozent mehr als 1.000 Dollar pro Mitarbeiter für IT-Sicherheit aus, während 11 Prozent es bei weniger als 100 Dollar belassen", erklärt Sven Hesselbach, Partner im Bereich ERS von Deloitte.

An der Studie beteiligten sich zahlreiche internationale Top-Finanzinstitute, -Banken sowie -Versicherungen. Untersucht wurde vor allem deren Performance in den Bereichen Governance, Investment, Risikomanagement, Sicherheitstechnologie, Qualitätssicherung sowie Datenschutz.

Gegenüber den Vorjahren siedelten die Befragten mehrheitlich erstmals diese Themengebiete inhaltlich bei der Geschäftsleitung an. 81 Prozent haben hierfür bereits eine konkrete Information-Security-Governance-Struktur definiert, weitere 18 Prozent entwickeln eine solche. Insgesamt 84 Prozent der Unternehmen verfügen über einen Chief Information Security Officer (CISO).

Investitionen vor allem im Bereich Mitarbeiterschulungen
Auch die Ausgaben im Bereich Informationssicherheit steigen stetig: 98 Prozent der Befragten haben die entsprechenden Budgets seit dem letzten Jahr erhöht. Aktuell sollen Identitätsmanagement, Compliance sowie Disaster Recovery und Business Continuity gefördert werden. Nachdem jedoch in den letzten Jahren die Investitionen in technische Lösungen immer im Vordergrund standen, wollen jetzt fast die Hälfte aller befragten Finanzinstitute sehr stark Trainings- und Ausbildungsprogramme forcieren.

Insbesondere beim Risikomanagement werden von Finanzinstituten ein besonderes Bewusstsein auf allen Unternehmensebenen und eine besondere Effizienz erwartet. Fast drei Viertel der Unternehmen haben hierzu unterschiedliche Risikolevels klassifiziert, 55 Prozent glauben, dass ihre existierenden Sicherheitsrichtlinien wirksam und praxisgerecht sind.

Um die Qualität von Dienstleistungen, Prozessen und Produkten unternehmensübergreifend zu gewährleisten, haben 81 Prozent der Studienteilnehmer die Zuständigkeiten der Mitarbeiter im Bereich Informationssicherheit klar definiert – allerdings messen nur 50 Prozent die Wirksamkeit dieser Vorgehensweise im Rahmen von Mitarbeiterbeurteilungen.

"In einem Umfeld zunehmender Outsourcing-Aktivitäten ist es beachtlich, dass annähernd 30 Prozent der befragten Institutionen bei Vertragsabschlüssen mit Dienstleistern keine Klauseln zur Informationssicherheit aufnehmen und nur 22 Prozent unabhängige Sicherheits-Audits bei ihren Dienstleistern durchführen lassen", betont Sven Hesselbach von Deloitte.

Ein weiteres herausragendes Thema ist der Datenschutz. Nicht zuletzt durch eine steigende Anzahl von bekannt gewordenen Vorfällen des Datenmissbrauchs ist der Datenschutz mittlerweile zu einem festen Bestandteil des Sicherheitsmanagements geworden.

Etwa 70 Prozent der befragten Unternehmen verfügen über Programme zur Sicherstellung der Datenschutz-Compliance, wobei 66 Prozent einen verantwortlichen Manager für den Datenschutz benannt haben. Anders als in Deutschland sind diese häufig im Bereich der IT-Organisation angesiedelt.

Lücke zwischen Anspruch und Wirklichkeit
Die Mehrheit der befragten Unternehmen aus dem Finanzsektor ist sich der Gefahrenlage durchaus bewusst. "Wir haben jedoch festgestellt, dass immer noch eine deutliche Lücke zwischen Anspruch und Wirklichkeit existiert", kommentiert Sven Hesselbach. "Trotz eines vorhandenen Bewusstseins auf der Managementebene und einer Vielzahl von Einzelmaßnahmen fehlt es an operativer Übernahme der Verantwortung. Zu viele Geschäftsbereichsleiter halten die Informationssicherheit immer noch für eine Angelegenheit der IT-Abteilung und sehen sich nicht selbst in der Pflicht." (Deloitte: ra)