Carmao Business Information Risk Index

Die wichtigsten Branchen spielen Vogel Strauß bei der Informationssicherheit

| Redakteur: Ulrike Ostler

Die Unternehmen befinden sich im Zentrum der digitalen Transformation, doch in puncto Resilienz - Sensibilität für Sicherheit und Datenschutz - tun sie, als seien sie unsichtbar, befindet der„Carmao Business Information Risk Index“.
Die Unternehmen befinden sich im Zentrum der digitalen Transformation, doch in puncto Resilienz - Sensibilität für Sicherheit und Datenschutz - tun sie, als seien sie unsichtbar, befindet der„Carmao Business Information Risk Index“. (Bild: gemeinfrei - Lucnarock/ Pixabay / CC0)

Im Rahmen der Veranstaltung „Risikodarstellung und Bewertung von Rechenzentren und IT-Unternehmen“ des Eco – Verband der Internet-Wirtschaft stellte Carmao seinen jüngsten „Business Information Risk Index“ vor. Die Sensibilität für Informationssicherheit und Datenschutz steige zwar leicht, die DSVGO zeige Wirkung, und trotzdem lasse die Resilienz mehr als zu wünschen übrig.

„Unverändert schwächelndes Risikobewusstsein“, „verschlechterte Situation bei den Sicherheitsvorfällen“, die Hälfte der bewerteten Parameter auf kritischen Niveau“, „negative Entwicklung beim internen Risikobewusstsein“, „bedenkliches Sicherheitsniveau“, tief in der critical zone“ und „digitale Risiken werden nicht ernst genommen“ – die Carmao-Experten geizen nicht mit Kritik.

Für die Untersuchung hat das Unternehmen Digital Intelligence Institute (DII) im Auftrag von Carmao 2051 Business Manager befragt. Sie stammen aus Firmen der zehn wichtigsten Branchen - Automotive, Chemie/Pharma, Elektronik, Finance, Lebensmittelindustrie, Energieversorger, Handel, Healthcare, Logistik und Maschinenbau - und mit einem Jahresumsatz von mehr als 10 Millionen Euro. Trotz der Menge an Befragten handelt es sich um eine jeweils subjektive Einschätzung und um kein externes Audit.

Der „Business Information Risk Index 2018“ von Carmao für alle untersuchten Branchen
Der „Business Information Risk Index 2018“ von Carmao für alle untersuchten Branchen (Bild: Carmao GmbH)

Der Business Information Risk-Index (BIR-I) wurde 2017 das erste Mal ermittelt. Er basiert auf 10 Aspekten, die die Befragten auf einer Skala von 1 bis 10 zu bewerten hatten. Die addierten Einzelwerte ergeben ein Gesamtniveau und damit den Index-Wert. Als „kritische Bereiche gelten Einzelbewertungen von unter 7,7 und Gesamtergebnisse von unter 75 Punkten.

Erst die Androhung von Bußgeldern hilft

Im Allgemeinen stellen die Macher einen „deutlichen Anstieg der Unternehmens-Resilienz“ fest, also eine gestiegene Sensibilität für Sicherheit und Datenschutz. Verantwortlich dafür sind, so führt Robert Hellwig, Geschäftsführer der Carmao GmbH, aus die „immer sichtbareren Cyber-Gefahren“, weil in den Unternehmen mit dem Nachdenken über die Digitalisierung auch das Verständnis dafür steigt. Dazu komme aber auch die neue europäischen Datenschutzgrundverordnung (DSVGO), „jetzt, da mit dieser Bußgelder drohen“, setzt er hinzu.

Die gestiegene Aufmerksamkeit auf Security-Belange zeigt auch das „Allianz Risk Barometer“ (siehe: Bildergalerie). Das aktuelle zeigt auf der weltweiten und EU-Skala (Abbildung 1 und 2) der größten Geschäftsrisiken für Unternehmen, dass Cyber-Vorfälle erstmals mit Betriebs- und Lieferkettenunterbrechungen gleichauf liegen, bei jeweils je 37 Prozent der Antworten. In Deutschland liegt mit 48 Prozent letzteres nach wie vor vorne.

Hellwig greift einige Branchen heraus, die generell als risiko-sensibel oder -scheu gelten, etwa die Finanzindustrie. Sein Gesamturteil über diese lautet „ganz gut, aber angesichts der vielen Regularien, die tief in das Geschäft der Finanzhäuser eingreifen, müssten sie besser sein. Die machen Vieles, weil sie müssen, aber nicht, weil sie es verstanden hätten.“

Die Finanzbranche und die chemische/pharmazeutische Industrie

Die schriftlichen Formulierungen im Report falls nicht weniger deutlich aus: „Mal sind Informationen von über 400.000 Unicredit-Kunden in Hacker-Händen gelandet, mal wurde durch eine Sicherheitslücke im Mobilfunknetz Geld von Bankkunden auf fremde Konten umgeleitet, mal werden bei eine Hacker-Angriff auf den US-Finanzdienstleister Equifax Daten von 143 Millionen Kunden gestohlen“, so fängt das Kapitel über die Finanzbranche an. Die Aufsichtsbehörde Bafin habe bereits im Frühjahr 2017 „sehr deutlich“ darauf hingewiesen, dass die IT-Systeme der Kreditinstitute oftmals schlichtweg veraltet und dadurch anfällig für Angriffen von Innen und außen seien.

Auch der Versicherungswirtschaft habe sie nahegelegt, ihre Sicherheitsbemühungen oberhalb des Niveaus gesetzliches Anforderungen zu halten. „Gemeint ist damit, dass für sie die Assekuranz nicht das im BSI-Gesetz definierte Mindestmaß an Informationssicherheit gelten solle“, so der Carmao-Bericht.

Der Lebensmittelbranche bescheinigt Carmao ein "bedenkliches Sicherheitsniveau".
Der Lebensmittelbranche bescheinigt Carmao ein "bedenkliches Sicherheitsniveau". (Bild: Carmao GmbH)

Die Chemie- und Pharma-Branche indes bekommt durch die Digitalisierung und neue Technik – von Cloud, Big Data, IoT bis zu Smart Medical Devices- sowie damit einhergehend neue Themen wie der Austausch mit Patienten und einer Individualisierung der Medikamentenfertigung bis hin zur Losgröße 1 riesige Chancen und die Branchenprognosen stehen gut. Doch der intensiven Datennutzung und einer zunehmenden Vernetzung von Wertschöpfungskette folgte die Investition in Sicherheitsvorkehrungen nicht in gleichem Maße. „das ist“, so Hellwig, „gelinde gesagt, ein wenig erschreckend“.

Er erklärt die Entwicklung mit einem zu hohen Kostendruck, was einen Personalabbau zur Folge hatte, so dass nun die eigentlich eingeschliffenen Unternehmensprozesse nicht mehr funktionierten. Dabei registrierten die chemisch-pharmazeutischen Betriebe mehr Patent- und Markenrechtsverletzungen.

Das Hähnchen im Rechenzentrum

Der Lebensmittelbranche bescheinigt der Business Information Risk Index gar ein „bedenkliches Sicherheitsniveau“, obwohl mehr denn je über die Digitalisierung, sich selbst organisierende Produktion und Verpackungsprozesse und IP-gesteuerte Robotersysteme diskutiert werde. Immerhin ist eine wesentliche Voraussetzung dafür die Vernetzung von Menschen, Maschinen und Produkten mit der Informations- und Kommunikationstechnik.

Das Carmao-Angebot

Die Ausführungen zum Index dienen Hellwig jedoch nicht zur Ermahnung. Carmao hat mit „Charisma“ ein Framework entwickelt, das ein integriertes Management zur Resilienzoptimierung ermöglichen soll. Wesentliche Bestandteile sind eine zentrale Anforderungsdatenbank sowie eine zentrales Information Risk Repository. Auf dieser Basis sollen Silo-Strukturen mit unterschiedlichen Organisations- und Zuständigkeitsbereichen überwunden werden können.

Bis jetzt könnten gegenseitige Bedingungsverhältnisse einschließlich der Überschneidungsbereiche zu Nachbardisziplinen nur begrenzt wahrgenommen werden. Immerhin besitzt jeder Teilbereich eigene Werkzeuge und ein Zusammenspiel findet nur selten statt. So entstünden an den Schnittstellen ungewollte Sicherheitslücken, außerdem steige der Aufwand und Kosten. Laut Hellwig gehören aber zur Unternehmensresilienz Business Continuity durch ein IT-Notfall-Management, IT-Service-Continuity, Compliance- und Quality-Management, Datenschutz, Cybersecurity und Informationssicherheit.

Wer sich schon einmal mit dem blauen Engel für Rechenzentren beschäftigt hat, kennt auch Marc Wilkens, der wesentlich an den Bewertungskriterien und an der Erprobung in der Praxis mitgearbeitet hat. Er arbeitet ebenfalls bei der Carmao GmbH, so dass potenzielle Kunden sichergehen können, dass auch physische, organisatorische und prozessorale Aspekte in das Konzept einer 360-Grad-Betrachtung der IT-Risiken einfließen können.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 45729308 / Risk Management)