Vorstände ignorieren Risiken und Bedrohungen Für IT-Sicherheit und Datenschutz bleibt kaum Zeit

Redakteur: Stephan Augsten

Führungskräfte in Unternehmen schenken der IT-Sicherheit und der Abwehr von Bedrohungen zu wenig Beachtung. Dies geht aus einer aktuellen Umfrage von Carnegie Mellon CyLab und RSA hervor.

Anbieter zum Thema

Nur wenige IT-Führungskräfte befassen sich regelmäßig mit Policy- und Risk-Management.
Nur wenige IT-Führungskräfte befassen sich regelmäßig mit Policy- und Risk-Management.

Der Abwehr von Cyber-Gefahren wird seitens der Führungsetagen noch immer zu wenig Aufmerksamkeit geschenkt. Zu diesem Schluss kommt das Carnegie Mellon CyLab nach einer von RSA gesponsorten Governance-Studie (PDF, 131 KB). Befragt wurden Top-Führungskräfte aus Unternehmen der „Forbes Global 2000“-Liste.

Grundsätzlich habe sich laut der Umfrage die Erfüllung üblicher Governance-Aufgaben verbessert. Trotzdem glaubt weniger als ein Drittel der Befragten, dass leitende Angestellte und Vorstände den grundlegenden Aufgaben der Cyber-Governance gewachsen sind.

Vor allem ihrer Kontroll- und Aufsichtspflicht kommen nur wenige Verantwortliche nach. So befasst sich nach Ansicht der Befragten nur ein knappes Viertel der Führungskräfte regelmäßig mit den Richtlinien, die Datenschutz und Risiko-Management stärken sollen. Weitere 28 Prozent werfen zumindest zwischenzeitlich ein Auge aufs Policy-Management, 42 Prozent hingegen selten bis nie.

Ein ähnliches Bild zeigt sich bei der Budgetplanung für Datenschutz und IT-Sicherheit: 28 Prozent der Befragten meinen, dass ihr Vorstand den finanziellen Rahmen für Sicherheitsausgaben regelmäßig prüft und nachbessert. Jeder zehnte Befragte geht von einer gelegentlichen Kontrolle aus. Über die Hälfte der Umfrage-Teilnehmer glauben, dass ihre Unternehmen nie oder nur ganz selten die Budgets kontrollieren.

Nichtsdestotrotz gebe es auch Verbesserungen, beispielsweise bei der Bildung von Risiko-Komitees auf Vorstandsebene und organisationsübergreifenden Teams. Allerdings gab fast die Hälfte aller Befragten an, dass sie keine Vollzeit-Positionen für Datenschutz und Sicherheit haben.

Doch gerade aus Sicht der Wettbewerbsfähigkeit sind Datenschutz und IT-Sicherheit unerlässlich, glaubt Jody Westby, CEO beim Carnegie Mellon CyLab: „Unternehmen, die die Rahmenbedingungen für ein vertrauenswürdiges Arbeitsumfeld schaffen, werden auch im Markt als verlässliches Unternehmen wahrgenommen.“

Tipps für besseres Security-Management

Zur Verbesserung der Corporate Governance in Bezug auf Datenschutz und Sicherheit geben CyLab und RSA eine Reihe von Empfehlungen:

  • Festlegung von Richtlinien für Datenschutz und Sicherheit auf Führungsebene
  • Überprüfung von Rollen und Verantwortlichkeiten für Datenschutz und Sicherheit, Besetzung dieser Positionen mit qualifizierten leitenden Führungskräften in Vollzeit, Rechenschaftspflichten in der gesamten Organisation verankern
  • Sicherstellen eines regelmäßigen Informationsfluss zum Datenschutz und zu Sicherheitsrisiken an die Geschäftsleitung und den Aufsichtsrat, dazu gehören insbesondere Berichte zu Cyber-Zwischenfällen und Rechtsverstößen
  • Jährliche Überprüfung der IT-Budgets für Datenschutz und Sicherheit, unabhängig vom Budget des CIO
  • Jährliche Überprüfung der Sicherheitsmaßnahmen im Unternehmen und der Wirksamkeit von Kontrollmechanismen, Überprüfung der Ergebnisse und der eingeleiteten Maßnahmen zur Beseitigung von Mängeln
  • Regelmäßige Anpassung der Abdeckung des Cyber-Versicherungsschutzes an das Risikoprofil der Organisation

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

(ID:32226160)