Business Information Risk Index

Manager bewerten Informationssicherheit kritisch

| Redakteur: Peter Schmitz

Der Business Information Risk Index (BIRI) gibt für die 10 wichtigsten Branchen Auskunft über das Niveau der Informationssicherheit. Selbst die beste Branche liegt nur knapp über der kritischen Zone.
Der Business Information Risk Index (BIRI) gibt für die 10 wichtigsten Branchen Auskunft über das Niveau der Informationssicherheit. Selbst die beste Branche liegt nur knapp über der kritischen Zone. (Bild: Carmao)

Je stärker der Digitalisierungsgrad und die Komplexität der Vernetzung von Systemen steigen, desto mehr werden gelangen sie wegen steigender Risiken auch in den Fokus der Informationssicherheit. Auf diese Anforderungen scheinen die Unternehmen aktuell aus der Perspektive der Business Manager allerdings noch nicht ausreichend vorbereitet zu sein. Zu diesen Erkenntnissen kommt der branchenübergreifende Business Information Risk Index (BIRI) von Carmao.

Der BIRI gibt Auskunft über das Niveau des Informationssicherheitsniveaus im Business der Unternehmen. Es befindet sich in einer kritischen Zone, wenn ein Wert von unter 75 der maximal 100 Punkte ermittelt wird. Der Analyse liegt eine Befragung von über 2.000 Fachbereichsverantwortliche aus Unternehmen mit einem Jahresumsatz von über 10 Mio. Euro in den 10 wichtigsten Branchen zugrunde. „Die Besonderheit des Business Information Risk Index besteht darin, dass für die Bewertung nicht wie üblich die Sichtweise der Sicherheitsexperten herangezogen wird, sondern die Analyse der Informationssicherheit aus der Perspektive der Geschäftsbereichsmanager mit ihrem Bedarf an sicheren Infrastrukturbedingungen erfolgt“, betont Carmao-Geschäftsführer Ulrich Heun.

Zum Gesamtergebnis des BIRI 2017 hat beigetragen, dass verschiedene Branchen eine deutlich unterdurchschnittliche Situation in der Informationssicherheit aufweisen. Dazu gehören insbesondere die Lebensmittelindustrie, der Handel, die Automobilunternehmen und die Logistikwirtschaft. Für die Automobilunternehmen wurde beispielsweise lediglich ein Wert von lediglich 64,05 ermittelt, somit werden die Anforderungen in den analysierten Leistungsaspekten der Informationssicherheit nicht einmal zu zwei Drittel erfüllt. Der Finanzsektor weist als Branche mit dem höchsten Niveau an Informationssicherheit allerdings auch nur einen Index-Wert von 76,35 auf, er liegt damit nur knapp über der kritischen Grenze.

Die Automobilunternehmen belegen im Branchenvergleich zwar den vierten Rang, aber gleich mehrere Einzelwerte liegen unterhalb des Branchendurchschnitts. So werden Sicherheitsaspekte in den IT- und Digitalisierungsprojekten seltener berücksichtigt und besteht ein geringeres Investitionsengagement zur Optimierung der Informationssicherheit. Auch dass die Bewertung der Einhaltung von unternehmensinternen Compliance-Regeln nur einen Teilindex von 6,88 bei maximal 10 erreicht, ist bemerkenswert. Vor allem aber haben die Business Manager in den Automotive-Betrieben mehr Sicherheitsvorfälle wie digitale Wirtschaftsspionage, Sabotage oder Datendiebstahl im Vergleich zum Mittel aller untersuchten Branchen registriert. Damit stehen sie jedoch etwas im Widerspruch zum selbst empfundenen Niveau der aktuellen Informationssicherheit: Der Teilindex weist hier einen leicht überdurchschnittlichen Wert auf. Auch in einer anderen Hinsicht geben die Ergebnisse Rätsel auf: Obwohl seitens des Top-Managements und zwischen den Business Managern keine enge Kommunikation zur Informationssicherheit erfolgt, wird das Risikobewusstsein als überdurchschnittlich ausgeprägt bewertet.

In der Detailbetrachtung fällt auf, dass zwar das empfundene Sicherheitsniveau im Vergleich zu anderen Aspekten relativ hoch bewertet wird, aber das wahrgenommene Risikobewusstsein im Unternehmen deutlich niedriger ist. Zu den bemerkenswerten Auffälligkeiten gehört gleichermaßen, dass sich offensichtlich die Unternehmensführung im Regelfall nur zurückhaltend in Sachen Informationssicherheit positioniert und sie dieses Thema auch im Kontakt mit den Führungskräften der zweiten Ebene nur zurückhaltend diskutiert.

Hier sieht Heun auch eine zentrale Ursache für das von deutlichen Schwächen geprägte Sicherheitsniveau. „Solange die Informationssicherheit intern nicht hoch genug priorisiert und innerlich gelebt wird, mangelt es an einer ausreichenden Basis für die Prozesse und das Engagement in der Sicherheitsorganisation.“ Dass in der Hinsicht deutliche Defizite bestehen, zeigt sich auch an der geringen Mitwirkung der Mitarbeiter an den Strategien zur Informationssicherheit. So werden sie hierzu kaum fortgebildet oder über Awareness-Maßnahmen sensibilisiert.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44767770 / Risk Management)