IT kein Allheilmittel

Datenschutzmassnahmen fangen bei den Mitarbeitern an, lautet ein Grundsatz. Dieser Regel wird in Unternehmen aber kaum gefolgt, offenbart eine Umfrage der Buchprüfer von PricewaterhouseCoopersund dem IT-Anbieter Iron Mountain. Stattdessen installieren die befragten 600 Führungskräfte aus europäischen Firmen zuerst neue IT-Systeme, wenn eine Datenschutzverletzung bekannt wird. In 60 Prozent der Fälle reagieren Unternehmen so. Entsprechend sieht dann auch ein Drittel (35 Prozent) die Zuständigkeit für Datenschutz – sowohl für papierbasierte als auch für elektronische Informationen – exklusiv bei der IT-Abteilung. Nur 13 Prozent meinen, dass Datensicherheit eine Aufgabe des Vorstands sein sollte. Gerade noch 1 Prozent sind der Auffassung, dass alle Mitarbeiter mitverantwortlich sind. Allerdings konnten auch 60 Prozent keine Auskunft darüber geben, ob den Mitarbeitern die richtigen Mittel oder das notwendige Wissen zum Schutz von Informationen zur Verfügung stehen. Ein Grund für die Unkenntnis über die Vorkehrungen gegen Datenverlust ist gemäss Umfrage die geringe Relevanz, die den Risiken eines Informationsabflusses beigemessen wird. Denn nur etwa die Hälfte zählt den Verlust geschäftskritischer Informationen zu den drei grössten Unternehmensrisiken. Darüber hinaus konnte nur ein Viertel (24 Prozent) mit Bestimmtheit sagen, ob es in den letzten drei Jahren in ihrem Unternehmen einen Datenschutzvorfall gab.

So ist es dann für PricewaterhouseCoopers-Director William Beer nicht überraschend, dass Unternehmen Schwierigkeiten bei der Sicherung ihrer Informationen haben: «Datensicherheit basiert auf drei Elementen: Menschen, Prozesse und Technik. Viele Unternehmen konzentrieren sich beim Schutz ihrer Informationen zu sehr auf die Investition in Technologie. Aber das ist kein Allheilmittel.» Nach den Worten Beers könnten insbesondere mittelständische Firmen auch ohne grosse Investitionen den Schutz ihrer Daten verbessern: Indem die Geschäftsleitung einen Wandel der Unternehmenskultur anstösst, neue Prozesse implementiert und das Personal schult, könne mehr erreicht werden als durch aufwändige, aber isolierte IT-Implementierungen, meint der Sicherheitsspezialist von PricewaterhouseCoopers.