Suchen

Vorstände ignorieren Risiken und Bedrohungen Für IT-Sicherheit und Datenschutz bleibt kaum Zeit

| Redakteur: Stephan Augsten

Führungskräfte in Unternehmen schenken der IT-Sicherheit und der Abwehr von Bedrohungen zu wenig Beachtung. Dies geht aus einer aktuellen Umfrage von Carnegie Mellon CyLab und RSA hervor.

Firma zum Thema

Nur wenige IT-Führungskräfte befassen sich regelmäßig mit Policy- und Risk-Management.
Nur wenige IT-Führungskräfte befassen sich regelmäßig mit Policy- und Risk-Management.

Der Abwehr von Cyber-Gefahren wird seitens der Führungsetagen noch immer zu wenig Aufmerksamkeit geschenkt. Zu diesem Schluss kommt das Carnegie Mellon CyLab nach einer von RSA gesponsorten Governance-Studie (PDF, 131 KB). Befragt wurden Top-Führungskräfte aus Unternehmen der „Forbes Global 2000“-Liste.

Grundsätzlich habe sich laut der Umfrage die Erfüllung üblicher Governance-Aufgaben verbessert. Trotzdem glaubt weniger als ein Drittel der Befragten, dass leitende Angestellte und Vorstände den grundlegenden Aufgaben der Cyber-Governance gewachsen sind.

Vor allem ihrer Kontroll- und Aufsichtspflicht kommen nur wenige Verantwortliche nach. So befasst sich nach Ansicht der Befragten nur ein knappes Viertel der Führungskräfte regelmäßig mit den Richtlinien, die Datenschutz und Risiko-Management stärken sollen. Weitere 28 Prozent werfen zumindest zwischenzeitlich ein Auge aufs Policy-Management, 42 Prozent hingegen selten bis nie.

Ein ähnliches Bild zeigt sich bei der Budgetplanung für Datenschutz und IT-Sicherheit: 28 Prozent der Befragten meinen, dass ihr Vorstand den finanziellen Rahmen für Sicherheitsausgaben regelmäßig prüft und nachbessert. Jeder zehnte Befragte geht von einer gelegentlichen Kontrolle aus. Über die Hälfte der Umfrage-Teilnehmer glauben, dass ihre Unternehmen nie oder nur ganz selten die Budgets kontrollieren.

Nichtsdestotrotz gebe es auch Verbesserungen, beispielsweise bei der Bildung von Risiko-Komitees auf Vorstandsebene und organisationsübergreifenden Teams. Allerdings gab fast die Hälfte aller Befragten an, dass sie keine Vollzeit-Positionen für Datenschutz und Sicherheit haben.

Doch gerade aus Sicht der Wettbewerbsfähigkeit sind Datenschutz und IT-Sicherheit unerlässlich, glaubt Jody Westby, CEO beim Carnegie Mellon CyLab: „Unternehmen, die die Rahmenbedingungen für ein vertrauenswürdiges Arbeitsumfeld schaffen, werden auch im Markt als verlässliches Unternehmen wahrgenommen.“

Tipps für besseres Security-Management

Zur Verbesserung der Corporate Governance in Bezug auf Datenschutz und Sicherheit geben CyLab und RSA eine Reihe von Empfehlungen:

  • Festlegung von Richtlinien für Datenschutz und Sicherheit auf Führungsebene
  • Überprüfung von Rollen und Verantwortlichkeiten für Datenschutz und Sicherheit, Besetzung dieser Positionen mit qualifizierten leitenden Führungskräften in Vollzeit, Rechenschaftspflichten in der gesamten Organisation verankern
  • Sicherstellen eines regelmäßigen Informationsfluss zum Datenschutz und zu Sicherheitsrisiken an die Geschäftsleitung und den Aufsichtsrat, dazu gehören insbesondere Berichte zu Cyber-Zwischenfällen und Rechtsverstößen
  • Jährliche Überprüfung der IT-Budgets für Datenschutz und Sicherheit, unabhängig vom Budget des CIO
  • Jährliche Überprüfung der Sicherheitsmaßnahmen im Unternehmen und der Wirksamkeit von Kontrollmechanismen, Überprüfung der Ergebnisse und der eingeleiteten Maßnahmen zur Beseitigung von Mängeln
  • Regelmäßige Anpassung der Abdeckung des Cyber-Versicherungsschutzes an das Risikoprofil der Organisation

(ID:32226160)