Suchen

Organisatorische und technische Defizite DAX-30-Firmen fehlt ein klares IT-Security-Konzept

| Redakteur: Stephan Augsten

In den meisten DAX-Firmen fehlt ein durchgängiges Konzept für die Informationssicherheit, so eine Studie von A.T. Kearney. Der Unternehmensberatung zufolge gebe es sowohl auf technischer als auch auf organisatorischer Ebene herbe Defizite.

Firma zum Thema

A.T. Kearney, Bitkom
A.T. Kearney, Bitkom

Anhand der Jahresberichte der 30 DAX-Firmen hat A.T. Kearney Rückschlüsse auf deren Konzepte für Informationssicherheit gezogen. Wie die die Unternehmensberatung berichtet, widmen sich zwar 27 der Unternehmen explizit dem Thema Informationssicherheit. Jedoch deuteten die genannten Schutzmaßnahmen auf ein veraltetes Sicherheitsverständnis hin.

Ein durchgängiges und umfassendes Konzept für den Schutz von Daten und Know-how ließe sich in den meisten Fällen nicht erkennen. „Lediglich jeder zehnte Bericht ist dazu geeignet, wirkliches Vertrauen aufzubauen“, sagt Dr. Boris Piwinger, Experte für Informationssicherheit bei A.T. Kearney.

Häufig sind in den Jahresberichten nur technische Einzellösungen wie Antivirus-Software oder redundante Systeme dokumentiert, die jeweils nur einen Teil der Gefahren abwehren können. Offenbar deutet zudem nichts darauf hin, dass die Unternehmen den Risiken auf organisatorischer Ebene gewachsen sind.

„Die meisten Sicherheitsverantwortlichen sind heute noch Teil der IT-Abteilung und oft auch nur auf der Sachbearbeiter-Ebene angesiedelt“, berichtet Michael Römer, Partner bei A.T. Kearney. Ähnlich wie Compliance-Manager müssten Security-Verantwortliche außerhalb der IT-Abteilung agieren können. „Derjenige, der sich um die Informationssicherheit kümmert, muss dem CIO auf Augenhöhe begegnen und kritische Fragen stellen können“, so Römer.

A.T. Kearney rät außerdem dazu, im Rahmen eines Assessments die wertvollen Daten im Unternehmen zu identifizieren. Anschließend müsse man sich aus strategischer und geschäftskritischer Sicht die Frage stellen, wie die wichtigen Informationen abgesichert werden können. Informationssicherheit müsse als ganzheitliche Funktion betrachtet und über die Abteilungsgrenzen hinweg angegangen werden.

Im Rahmen der Studie verweist A.T. Kearney auf Schäden durch Industriespionage, die das Bundesministerium des Inneren auf jährlich 50 Milliarden Euro beziffert. Die Ausgaben, um IT-Systeme gegen Angriffe von außen abzusichern, summierten sich hierzulande hingegen nur auf 2,5 Milliarden Euro. Dies entspreche nur rund vier Prozent der Gesamtausgaben für Informationstechnologie.

(ID:34409600)