Informationssicherheit kann der Reputation schaden

An der Umfrage "Global Information Security Survey 2008" des Wirtschaftsprüfungs- und Beratungsunternehmens Ernst & Young haben rund 1400 Top-Manager teilgenommen - darunter knapp 50 aus der Schweiz. Ein Grossteil der Befragten ist der Ansicht, dass ein Sicherheitsproblem grössere Auswirkungen auf Reputation und Marke hat als auf die Umsatzerlöse. Über 91 Prozent stufen einen Schaden für Reputation und Marke als signifikant ein. 79 Prozent von ihnen bewerten Umsatzeinbussen, und nur 57 Prozent aufsichtsrechtliche Sanktionen als signifikant. Dazu meint Ralph Holbein, Partner und Mitglied des Technology- und Security-Risk-Services-Teams von Ernst & Young in der Schweiz: "Der Aufbau einer guten Marke und Reputation kann Jahre dauern, jedoch durch ein einziges Sicherheitsproblem schwer geschädigt oder gar ruiniert werden." Die meisten in den letzten Jahren im Bereich Informationssicherheit durchgeführten Verbesserungen seien auf aufsichtsrechtliche Vorschriften zurückzuführen. Das Bedürfnis Marke und Reputation zu schützen, würde jetzt viele Unternehmen dazu veranlassen, "mehr zu tun als nur den Vorschriften des Aufsichts- und Gesellschaftsrechts nachzukommen", meint der Experte.

Trotz knapper werdender Mittel deutet die Umfrage laut Ernst & Young darauf hin, dass die Unternehmen ihre Investitionen in die Informationssicherheit erhöhen. Immer mehr Firmen würden sich zudem an internationalen Sicherheitsnormen orientieren. Über 78 Prozent gaben an, dass sie mittlerweile Kontrollmechanismen implementiert haben, um Personendaten zu schützen. Trotz des Konjunkturabschwungs beabsichtigen 46 Prozent der Befragten in der Schweiz, ihr Sicherheitsbudget aufzustocken. Nur zwei Prozent planen, die derzeitigen Ausgaben zu kürzen. "Unserer Ansicht nach anerkennen die Unternehmen durchaus, dass sich Einsparungen beim Sicherheitsbudget negativ darauf auswirken, wie sie von den Interessengruppen wahrgenommen werden", sagt Hohlbein. Zudem würden die meisten Unternehmen glauben, dass Sicherheitsgefahren in wirtschaftlichen Krisenzeiten zunehmen. "Doch entscheidend ist, wofür das Geld ausgegeben wird", erläutert der Experte. Es genüge nicht, einfach weitere technische Lösungen wie beispielsweise Verschlüsselungstechniken zu finanzieren. Häufig sei der Mensch das schwächste Glied in der Kette. "Fachbereiche und Informationssicherheit müssen gezielt zusammenarbeiten, um Schulungs- und Aufklärungsprogramme zu entwickeln und ausgefeiltere Prüftechniken einzuführen", sagt Hohlbein.

Firmen vertrauen zunehmend auf externe Dienstleister und Outsourcing-Partner und ergreifen laut Ernst & Young bereits einige wesentliche Massnahmen zum Schutz ihrer Informationen.
Dennoch bestehe nach wie vor Optimierungsbedarf. So nehmen beispielsweise lediglich 47 Prozent der Befragten spezifische Informationssicherheitsvorschriften in all ihre Verträge mit externen Dienstleistern auf. Fast ein Drittel gibt an, weder zu überprüfen noch zu beurteilen, wie diese Vertragspartner ihre Informationen schützen, erläutert das Wirtschaftsprüfungs- und Beratungsunternehmen. Laut Hohlbein beobachtet Ernst & Young eine wachsende Zahl gemeldeter Fälle von Datenverlusten in Verbindung mit externen Dienstleistern und Outsourcing-Partnern. "Wo immer Informationen in der Lieferkette weitergegeben werden, müssen diese angemessen geschützt werden, und die Überwachung der Informationssicherheit hat durch alle Beteiligten zu erfolgen, mit denen zusammengearbeitet wird", meint der Experte abschliessend.

Der vollständige Bericht findet sich unter Ey.com/ch.