Nahezu alle großen Unternehmen in Österreich tun zu wenig, um ihr Know-how und ihre Daten zu schützen. Statt ganzheitliche Strategien zur Informationssicherheit umzusetzen, ignorieren sie das Thema. Umfassende Sicherheitskonzepte werden gegenüber der Öffentlichkeit nicht dokumentiert. [...]
Zu diesem Ergebnis kommt A.T. Kearney bei der Auswertung der Risikoberichte von 40 Unternehmen aus dem ATX Prime.
»Das Problem wird totgeschwiegen«, sagt dazu Michael Römer, Partner bei A.T. Kearney. Ein Blick in die Jahresberichte der 40 Unternehmen im ATX Prime belegt, dass bei diesem Thema dramatisch großer Nachholbedarf besteht. Die Berichte sollten eigentlich durch die Darstellung der Schutzmaßnahmen Vertrauen schaffen. Dies gelingt aber nur den wenigsten Unternehmen. »Nicht einmal jeder zehnte Bericht ist dazu geeignet, Vertrauen aufzubauen«, so Boris Piwinger, Experte für Informationssicherheit bei A.T. Kearney.
VERALTETES SICHERHEITSVERSTÄNDNIS
Fast alle Unternehmen beschreiben im Geschäftsbericht ihr Risikomanagementsystem. Eine hohe Sensibilisierung gegenüber der Tatsache, dass Kunden- und Entwicklungsdaten einen bedeutsamen Teil des Unternehmensvermögens darstellen, lässt sich hieraus allerdings nicht ableiten. Nur 21 der 40 ATX-Prime-Unternehmen widmen sich in ihren Jahresberichten überhaupt dem Thema Informationssicherheit. Die genannten Schutzmaßnahmen deuten zudem auf ein veraltetes Sicherheitsverständnis hin: Es werden allein technische Einzelmaßnahmen wie der Einsatz von Antiviren-Software oder der Aufbau redundanter Systeme dokumentiert und keine durchgängigen Sicherheitskonzepte.
»Weil sich Unternehmen aber nach wie vor scheuen, Fälle von Wirtschaftsspionage und Hackerangriffen publik zu machen, wirkt die Bedrohung kleiner als sie tatsächlich ist. Dadurch fehlt vielen Entscheidern insgesamt eine Sensibilität für die Größe des Problems«, erklärt Piwinger.
Schon eine kleine Auswahl der bekannt gewordenen Fälle zeigt, wie ernst das Problem ist: Im Juli 2011 dringen Hacker in die Kundendatenbank des Gebühreninformationsservice des ORF (GIS) ein und kopieren 214.000 Datensätze mit 96.000 Kontodaten. Es wurden Daten publik gemacht, die von Mitarbeitern aus Polizei und Innenministerium stammen.
Ein ehemaliger Angestellter des Windradentwicklers Windtec in Kärnten liefert 2011 und 2012 dem chinesischen Unternehmen Sinovel Betriebsgeheimnisse, darunter auch eine Software zur Steuerung von Windkraftanlagen. Windtec Österreich muss wegen der Spionage und des Ausfalls von Sinovel als Kunden 96 Millionen Euro abschreiben und 40 Mitarbeiter kündigen. Der Windtec-Mutterkonzern AMSC verklagt Sinovel in Peking auf 1,2 Milliarden US-Dollar, da der ehemals wichtigste Wintec- und AMSC-Kunde vertraglich vereinbarte Leistungen nicht mehr annahm und bezahlte.
Im Jänner 2012 hackt ein Unbekannter den Onlineshop von T-Mobile Austria und Telering. Der Hacker könnte Einblick in die Daten von mehr als 100.000 Kunden gehabt und kopiert haben.
Doch nicht nur auf der Technologieebene agieren die Unternehmen zu wenig. Auch organisatorisch schaffen sie nicht die Vorrausetzungen dafür, Bedrohungen im Digitalzeitalter entgegenzutreten. »Die meisten Sicherheitsverantwortlichen sind heute noch Teil der IT-Abteilung und oft auch nur auf der Sachbearbeiter-Ebene angesiedelt«, so Römer. Vielmehr raten die Experten, die für die Sicherheit Zuständigen ähnlich wie die Compliance-Verantwortlichen außerhalb der IT-Abteilung – beispielsweise parallel zum Revisionswesen – anzusiedeln. »Derjenige, der sich um das Thema IT-Sicherheit kümmert, muss dem CIO auf Augenhöhe begegnen und kritische Fragen stellen können«, sagt Piwinger. Er rät außerdem dazu, in einem Assessment die wertvollen Daten im Unternehmen zu identifizieren und die Frage, wie sie abgesichert werden können, als strategisch und geschäftskritisch einzustufen. »Die Problematik, dass die exakten Kosten nicht vollständig zu erfassen sind, ist beim Thema Qualität eine ähnliche«, so Piwinger. »Andererseits werden die Kosten unterlassener Maßnahmen erst voll sichtbar, wenn auf Fehler Produktrückrufe und Klagen folgen. In einer Sichtweise, die nur die Kosten wahrnimmt, nicht aber die geschäftserhaltende Schutzfunktion, wird Informationssicherheit als Hemmnis gesehen.
Hier sei ein Umdenken erforderlich. »Mitarbeiter und Führungskräfte müssen laufend sensibilisiert werden. Die allerbeste Technik nutzt nichts, wenn Führungskräfte Hardware mit wichtigen Unternehmensdaten am Flughafen verlieren«, so Piwinger abschließend. (el)
Be the first to comment