Was die Absicherung ihrer Informationsbestände betrifft, sehen sich Chief Information Security Officers (CISOs) rund um den Globus mit stetig steigenden Anforderungen von Seiten ihrer Fachabteilungen und Geschäftspartner sowie der Behörden konfrontiert. Während allerdings das Bewusstsein für die Schutzpflicht "externer" Informationen wie Kunden-, Patienten- oder Kreditkartendaten in den Unternehmen mittlerweile gut ausgeprägt ist, wird im Hinblick auf die Absicherung "interner" Datenbestände offenbar nach wie vor geschludert. Das ergab eine globale Studie von Forrester Consulting zum Thema Datensicherheit.
Für IT-Sicherheitsverantwortliche gilt es grundsätzlich zwei Arten von Daten zu schützen: Einerseits streng vertrauliche interne Informationen, die langfristig Wettbewerbsvorteile sichern - etwa Produktpläne, Umsatzerwartungen oder Betriebsgeheimnisse, andererseits Daten, zu deren Schutz Unternehmen verpflichtet sind. Beispiele hierfür sind Kunden-, Patienten- und Kreditkartendaten, die hohe Missbrauchsrisiken bergen, wenn sie in die falschen Hände geraten. Während Unternehmen den Schutzbedarf dieser "externen" Daten inzwischen weitgehend erkannt haben und auch entsprechende Vorkehrungen treffen, wird der interne Datenschutz offenbar noch sträflich vernachlässigt. Das ergab die von Microsoft und EMCs Sicherheitssparte RSA initiierte Forrester-Untersuchung "The Value of Corporate Secrets" unter weltweit 305 Verantwortlichen für Informationssicherheit. Demnach konzentrieren sich die globalen Bemühungen primär auf die Einhaltung von Compliance-Vorgaben, wohingegen der Schutz vor Datendiebstahl beziehungsweise die Absicherung wertvoller Firmengeheimnisse deutlich zu kurz kommt.
Compliance übergewichtet
 | |
| Das Thema Compliance mit all seinen Facetten haben die Unternehmen bereits gut im Blick, investieren aber noch zu wenig in andere Bereiche der Datensicherheit. (Quelle; Forrester) |
Konkret stehen für das Gros der Unternehmen (nahezu 90 Prozent) die Einhaltung des Datensicherheitsstandards der Kreditkartenindustrie PCI-DSS (Payment Card Industrie Data Security Standard), Compliance in Bezug auf gesetzliche Datenschutzregeln sowie das Abdichten von Sicherheitslecks im Mittelpunkt der betrieblichen Datensicherheitsvorkehrungen. Eine Fokussierung, die sich auch in den Investitionen widerspiegelt: Im Schnitt fließen 39 Prozent der Security-Budgets in dahingehende Maßnahmen.
Problematisch ist dies aus Sicht der Forrester-Consultants, weil die damit geschützten Compliance-bezogenen, externen Daten lediglich 38 Prozent des Gesamtwerts aller vorhandenen Informationen in Unternehmen repräsentieren. Compliance in all ihren Ausprägungen habe zwar viel dazu beigetragen, Schutzvorkehrungen zu verbessern und den verantwortungsvollen Umgang mit externen Daten zu fördern. Allerdings, so die Berater, lenkt sie aber auch vom traditionellen Schwerpunkt der Sicherheitsbestrebungen - dem Schutz interner Informationen wie etwa Betriebsgeheimnissen - ab, die laut Forrester-Studie nahezu zwei Drittel (62 Prozent) und damit den größten Teil des Gesamtwerts an Informationen in Unternehmen ausmachen. Dennoch wenden die Firmen zu ihrem Schutz einen unverhältnismäßig geringen Anteil ihres IT-Sicherheitsetats (41 Prozent) auf. "Unternehmen investieren vorbildlich in die Sicherheit von Kunden- und Kontodaten, jedoch sollten sie mehr Wert auf den Schutz ihres geistigen Eigentums und der für ihre Organisation wichtigen Daten legen", mahnt auch RSA-CTO Sam Curry. Schließlich könne der Verlust geistigen Eigentums der Wettbewerbsfähigkeit einer Organisation langfristig schaden.
