Schwächen im Risk-Management

Cloud und Social Media gefährden die IT-Sicherheit

04.06.2013
Von 
Dr. Andreas Schaffry ist freiberuflicher IT-Fachjournalist und von 2006 bis 2015 für die CIO.de-Redaktion tätig. Die inhaltlichen Schwerpunkte seiner Berichterstattung liegen in den Bereichen ERP, Business Intelligence, CRM und SCM mit Schwerpunkt auf SAP und in der Darstellung aktueller IT-Trends wie SaaS, Cloud Computing oder Enterprise Mobility. Er schreibt insbesondere über die vielfältigen Wechselwirkungen zwischen IT und Business und die damit verbundenen Transformationsprozesse in Unternehmen.
Weitere Artikel des Autors

Fallen geschäftskritische IT-Prozesse deswegen aus, kann das für Unternehmen unter Umständen existenzgefährdend sein.

Stiefkind IT-Risiko-Management

Trotzdem werden laut Hemzal die IT-Sicherheit und das IT-Risiko-Management noch stiefmütterlich behandelt. Der Experton-Analyst schätzt, dass lediglich die Hälfte aller Unternehmen in Deutschland IT-Notfallpläne für Sicherheitsvorfälle hat. Falls solche vorhanden seien, handle es sich in vielen Fällen um reine "Schrankware".

Diese Tendenz wird durch die Ernst & Young-Untersuchung bestätigt, die nach den Top-fünf-Prioritäten bei der IT-Sicherheit in den nächsten zwölf Monaten fragte. Lediglich 18 Prozent der Studienteilnehmer gaben an, dass für sie ein IT-Risiko-Management-System für mehr Informationssicherheit an erster Stelle steht. 40 Prozent setzen dieses Thema auf Platz vier und fünf der Prioritätenliste.

Das verwundert schon deshalb, weil Hemzal zufolge deutsche Unternehmen rechtlich dazu verpflichtet sind, ein IT-Risiko-Management-System aufzubauen. Das ergebe sich aus dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) gemäß §91 Aktien-Gesetz und § 43 des GmbH-Gesetzes. Mit dem KonTraG fordert der Gesetzgeber ausdrücklich die Einrichtung eines Überwachungssystems, "damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden".

Die richtige IT-Risiko-Strategie

Allerdings sind der Aufbau und die Organisation eines IT-Risiko-Management-Systems alles andere als trivial: Es "bedeutet kontinuierliche Investitionen in Maßnahmen, die hoffentlich nie ergriffen werden müssen", schreibt Hemzal. Ein IT-Risiko-Management-System darf nicht mit dem IT-Sicherheitsmanagement verwechselt werden. Ersteres hat strategischen Charakter, Letzteres ist mehr operativ auf den Schutz von Daten und Informationen sowie die Abwehr diesbezüglicher Gefahren ausgerichtet. Dazu zählen Aspekte wie die Einhaltung von IT-Policies, Identity Management und Data Access oder Datensicherheit und DatenschutzDatenschutz. Alles zu Datenschutz auf CIO.de

Zur Startseite