Bei der Einhaltung gesetzlicher Vorgaben stoßen Unternehmen an die Grenzen ihrer Belastbarkeit. Im Zuge immer neuer rechtlicher Bestimmungen, die weltweit in Kraft treten, sind Firmen deshalb zusehends erheblichen Risiken für ihr Image und ihr Renommee ausgesetzt. Zu diesem Ergebnis kommt eine aktuelle Studie, die Jonathan Liebenau als Hauptdozent für Informationssysteme an der Management-Fakultät der London School of Economics (LSE) im Auftrag von McAfee erstellt hat.
Weiterhin offenbart die Studie, dass viele Unternehmen im Rahmen der Einhaltung gesetzlicher Regulationen lediglich auf eine sehr begrenzte Anzahl von Spezialisten mit den erforderlichen Qualifikationen zurückgreifen können: Nur wenige IT-Sicherheitsfachkräfte sind in der Lage, zum einen die Risiken für die Informationsbestände zu managen und zum anderen auch die Compliance-Herausforderungen im Detail zu verstehen. Verlieren Firmen durch Personalabgänge solche hausintern verfügbaren Kompetenzen, tun sie sich oft schwer, auf dem Arbeitsmarkt oder über Outsourcing-Modelle gleichwertigen Ersatz zu beschaffen.
Transparenzpflichten und Unternehmensimage
Das vielleicht beste Beispiel für den direkten Zusammenhang zwischen der IT-Sicherheit und strategischen Unternehmensfunktionen ist die Pflicht, die Öffentlichkeit über etwaige Sicherheitsverletzungen zu informieren. In den Vereinigten Staaten ist ein entsprechendes Gesetz seit 2004 in Kraft, führt nun aber zu ernsthaften Gefährdungen für das Ansehen und die geschäftliche Kontinuität von Firmen. So ergab eine aktuelle Studie des Ponemon-Instituts, dass in den USA mehr als ein Drittel aller Kunden (34 %) ihre Bank nach einem Verstoß gegen Sicherheitsvorgaben wechseln würde. Nach Erhebungen von Liebenau belief sich Mitte des Jahres 2006 die Zahl von Unternehmensberichten über Verletzungen der eigenen IT-Sicherheit auf acht bis zehn pro Woche. Bis heute waren fast 94 Millionen Einträge mit vertraulichen persönlichen Informationen von solchen Vorfällen betroffen. „Die verpflichtende Bekanntmachung von Sicherheitsverletzungen hat weit reichende Folgen für die Bestrebungen von Unternehmen, das eigene Ansehen systematisch zu schützen“, betont Liebenau als Autor der nun vorgelegten Studie: „In den Vereinigten Staaten ist es bereits üblich, solche Vorfälle publik zu machen. Rasch wird dies auch in anderen Teilen der Welt gängige Praxis werden. Das hat erhebliche Auswirkungen auf die Einstellung von Verbrauchern, Unternehmen und Behörden zum Umgang mit Daten im Allgemeinen und zum Schutz des Ansehens im Besonderen.“
Steigende Risiken?
Überraschenderweise können zusätzliche Compliance-Anforderungen in der Praxis dazu führen, dass die Sicherheitsrisiken von Unternehmen steigen. Denn die verpflichtende Auseinandersetzung mit Richtlinien, Standards und Regulationen hat unter Umständen zur Folge, dass die geschäftlichen Anforderungen an den Schutz vertraulicher Daten nicht mehr ausreichend Aufmerksamkeit finden können. Hinzu kommt, dass die Kosten für Maßnahmen zur Einhaltung von Gesetzespflichten und deren Überwachung mitunter erhebliche Ressourcen binden. Diese stehen dann nicht mehr für die Abwehr aktueller Gefährdungen der IT-Sicherheit zur Verfügung.
Theorie und Praxis
Erhebungen bestätigen, dass CIOs (Chief Information Officers), Sicherheitsverantwortliche und EDV-Leiter der Auffassung sind, dass das Thema Compliance eine immer wichtigere Rolle für die IT-Sicherheit spielt. Tatsächlich aber gelingt es vielen Unternehmen nur unzureichend, diese Anforderungen auch umzusetzen. So klagt ein britischer Experte für die IT-Sicherheit im Bankwesen: „Wir kennen den Sarbanes-Oxley Act zwar genau und wissen, wozu er dient. Aber in der Praxis tut man einfach das, was machbar ist.“ In diesem Zusammenhang sind drei Ergebnisse der LSE-Studie im Auftrag von McAfee von besonderer Bedeutung:
- Aufgrund eines Mangels an guten Benchmarks ist die Bewertung von Verfahren zur IT-Sicherheit häufig sehr subjektiv.
- Innerhalb von Unternehmen fehlt es an Konvergenz der Sicherheits-Methoden. Die Verantwortung für Richtlinien liegt häufig in den Händen anderer Mitarbeiter als das Management und die Pflege der Systemsicherheit.
- Geschäftsführer und Manager mit Verantwortung für die Datensicherheit ärgern sich über den erheblichen Aufwand, der erforderlich ist, um Änderungen an Richtlinien und Vorgaben ständig im Auge zu behalten und im Bedarfsfall die IT-Systeme entsprechend anzupassen.
Der Sarbanes-Oxley Act auf dem Prüfstand
Unter Fachkräften für die EDV-Sicherheit herrscht Einigkeit, dass der Sarbanes-Oxley Act einen Segen für die Datensicherheit in den USA und einen Bedeutungsgewinn ihres Verantwortungsbereichs innerhalb von Unternehmen bedeutet. Nichtsdestotrotz äußern viele der leitenden IT-Mitarbeiter, die befragt wurden, auch übereinstimmende Kritik: Das Gesetz sei zu vage in seinen Spezifikationen und gleichzeitig zu strikt verordnend in seinen Sanktionen. Für die Studie „International Perspectives on Information Security Practices“ hatte Liebenau zahlreiche Interviews mit IT-Leitern, Sicherheitsverantwortlichen, CIOs und CFOs (Chief Financial Officers) großer Finanzdienstleister aus Europa, Asien und Nordamerika geführt. Sein Ziel war es, zu bestimmen, wie die Befragten die Risiken für die Datensicherheit einschätzen und welche Prioritäten sie dabei setzen.