Der Mensch: Die Lösung für steigende Internet-Gefahren

Die Informationssicherheit ist gerade für Unternehmen der Finanzindustrie existenziell. Galt bislang die Informationstechnologie als primärer Risikofaktor, so rückt zunehmend der Mensch in den Fokus. Wie die weltweit angelegte „Global Security-Studie“ von Deloitte zum Sicherheitsstatus in der internationalen Finanzindustrie ergab, steht für knapp die Hälfte der Befragten aktuell das Risikobewusstsein der Mitarbeiter im Vordergrund. Deutlich sichtbar wurde aber eine Lücke zwischen dem vorhandenen Problembewusstsein der einzelnen Geschäftsbereiche und einer entsprechenden Unternehmensstrategie: Ein Drittel der Befragten verfügt über keine umfassende Sicherheitsstrategie, lediglich zehn Prozent haben die Zuständigkeiten in den Geschäftsbereichen verankert.

„Die deutschen wie auch die internationalen Finanzinstitute haben eine hohe technische und organisatorische Professionalität in der IT-Sicherheit erreicht, allerdings zeigt die Studie auch, dass die Investitionsbereitschaft sehr unterschiedlich ist. Von den Unternehmen, die diese Kennziffer ermitteln, geben 7% mehr als 1.000 US$ pro Mitarbeiter für IT-Sicherheit aus, während 11% es bei weniger als 100 US$ belassen.“, erklärt Sven Hesselbach, Partner im Bereich ERS von Deloitte.

An der Studie beteiligten sich zahlreiche internationale Top-Finanzinstitute, -Banken sowie -Versicherungen. Untersucht wurde vor allem deren Performance in den Bereichen Governance, Investment, Risikomanagement, Sicherheitstechnologie, Qualitätssicherung sowie Datenschutz. Gegenüber den Vorjahren siedelten die Befragten mehrheitlich erstmals diese Themengebiete inhaltlich bei der Geschäftsleitung an. 81 Prozent haben hierfür bereits eine konkrete Information-Security-Governance-Struktur definiert, weitere 18 Prozent entwickeln eine solche. Insgesamt 84 Prozent der Unternehmen verfügen über einen Chief Information Security Officer (CISO).

Investitionen vor allem im Bereich Mitarbeiterschulungen Auch die Ausgaben im Bereich Informationssicherheit steigen stetig: 98 Prozent der Befragten haben die entsprechenden Budgets seit dem letzten Jahr erhöht. Aktuell sollen Identitätsmanagement, Compliance sowie Disaster Recovery und Business Continuity gefördert werden. Nachdem jedoch in den letzten Jahren die Investitionen in technische Lösungen immer im Vordergrund standen, wollen jetzt fast die Hälfte aller befragten Finanzinstitute sehr stark Trainings- und Ausbildungsprogramme forcieren.

Insbesondere beim Risikomanagement werden von Finanzinstituten ein besonderes Bewusstsein auf allen Unternehmensebenen und eine besondere Effizienz erwartet. Fast drei Viertel der Unternehmen haben hierzu unterschiedliche Risikolevels klassifiziert, 55 Prozent glauben, dass ihre existierenden Sicherheitsrichtlinien wirksam und praxisgerecht sind.

Um die Qualität von Dienstleistungen, Prozessen und Produkten unternehmensübergreifend zu gewährleisten, haben 81 Prozent der Studienteilnehmer die Zuständigkeiten der Mitarbeiter im Bereich Informationssicherheit klar definiert – allerdings messen nur 50 Prozent die Wirksamkeit dieser Vorgehensweise im Rahmen von Mitarbeiterbeurteilungen.

„In einem Umfeld zunehmender Outsourcing-Aktivitäten ist es beachtlich, dass annähernd 30% der befragten Institutionen bei Vertragsabschlüssen mit Dienstleistern keine Klauseln zur Informationssicherheit aufnehmen und nur 22% unabhängige Sicherheitsaudits bei ihren Dienstleistern durchführen lassen“, betont Sven Hesselbach von Deloitte.

Ein weiteres herausragendes Thema ist der Datenschutz. Nicht zuletzt durch eine steigende Anzahl von bekannt gewordenen Vorfällen des Datenmissbrauchs ist der Datenschutz mittlerweile zu einem festen Bestandteil des Sicherheitsmanagements geworden. Etwa 70 Prozent der befragten Unternehmen verfügen über Programme zur Sicherstellung der Datenschutz-Compliance, wobei 66% einen verantwortlichen Manager für den Datenschutz benannt haben. Anders als in Deutschland sind diese häufig im Bereich der IT-Organisation angesiedelt.

Lücke zwischen Anspruch und Wirklichkeit Die Mehrheit der befragten Unternehmen aus dem Finanzsektor ist sich der Gefahrenlage durchaus bewusst. „Wir haben jedoch festgestellt, dass immer noch eine deutliche Lücke zwischen Anspruch und Wirklichkeit existiert“, kommentiert Sven Hesselbach. „Trotz eines vorhandenen Bewusstseins auf der Managementebene und einer Vielzahl von Einzelmaßnahmen fehlt es an operativer Übernahme der Verantwortung. Zu viele Geschäftsbereichsleiter halten die Informationssicherheit immer noch für eine Angelegenheit der IT-Abteilung und sehen sich nicht selbst in der Pflicht.“

Deloitte Deutschland

Deloitte ist eine der führenden Prüfungs- und Beratungsgesellschaften in Deutschland. Das breite Leistungsspektrum umfasst Wirtschaftsprüfung, Steuerberatung, Consulting und Corporate Finance-Beratung. Mit 3.400 Mitarbeitern in 18 Niederlassungen betreut Deloitte seit 100 Jahren Unternehmen und Institutionen jeder Rechtsform und Größe aus allen Wirtschaftszweigen. Über den Verbund Deloitte Touche Tohmatsu ist Deloitte mit rund 150.000 Mitarbeitern in nahezu 140 Ländern auf der ganzen Welt vertreten.

Deloitte bezieht sich auf Deloitte Touche Tohmatsu, einen Verein schweizerischen Rechts, dessen Mitgliedsunternehmen einschließlich der mit diesen verbundenen Gesellschaften. Als Verein schweizerischen Rechts haften weder Deloitte Touche Tohmatsu als Verein noch dessen Mitgliedsunternehmen für das Handeln oder Unterlassen des/der jeweils anderen. Jedes Mitgliedsunternehmen ist rechtlich selbstständig und unabhängig, auch wenn es unter dem Namen „Deloitte“, „Deloitte & Touche“, „Deloitte Touche Tohmatsu“ oder einem damit verbundenen Namen auftritt. Leistungen werden jeweils durch die einzelnen Mitgliedsunternehmen, nicht jedoch durch den Verein Deloitte Touche Tohmatsu erbracht. Copyright © 2007 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft. Alle Rechte vorbehalten.