"Kunst ist schön, macht aber viel Arbeit", wusste der bayerische Anarcho-Komiker Karl Valentin zu berichten. Ähnlich verhält es sich mit dem Datenschutz. Die Analysten des Marktforschers und Beraters Aberdeen haben dem Aspekt Verschlüsselung eine eigene Studie gewidmet. Fazit: Wer sich die Mühe macht, Verschlüsselung ganzheitlich anzugehen, wird nicht nur mit mehr Datensicherheit belohnt, sondern auch mit einer verbesserten Organisations-Struktur des Unternehmens.
Die Analysten teilen die untersuchten Firmen in drei Kategorien ein: besonders erfolgreiche Firmen ("Best in Class"/BiC), Mittelfeld ("Average") und Schlusslichter ("Laggards"). Zu den Besten dürfen sich 20 Prozent der Unternehmen zählen, das Mittelfeld stellt 50 Prozent und in der Trödel-Gruppe finden sich 30 Prozent.
Dazu ein paar Zahlen: Im Jahresvergleich senkten die BiC-Firmen die Fälle von Datenverlusten um sieben Prozent. Die Durchschnittsfirmen dagegen verbuchten ein Prozent, die Schlusslichter zwei Prozent mehr Datenverluste. Was interne Datenverluste - etwa durch Mitarbeiter - angeht, so erklären die BiCs, es sei in den vergangenen zwölf Monaten nur zweimal vorgekommen. Die Unternehmen im Mittelfeld geben zwölf Vorfälle zu Protokoll und die Schlusslichter vierzehn. An externen Störungen gab es bei den Musterfirmen nur eine. Mittel- und Schlussfeld zählten jeweils fünf.
Außerdem sank in den BiC-Unternehmen die Menge an Compliance-Verstößen, die mit Verschlüsselung zu tun haben, um drei Prozent. Das wiederum berichten auch die Firmen im Mittelfeld. Die Laggards dagegen zählten neun Prozent mehr solcher Verstöße.
Die Ergebnisse resultieren weniger aus dem unterschiedlichen Einsatz bestimmter Software-Lösungen. Viel mehr stehen verschiedene Organisationsformen dahinter beziehungsweise unterschiedliche Ansätze, wie Datenschutz im Betrieb konkret umzusetzen ist. So benennen 62 Prozent der Erfolgsfirmen einen Verantwortlichen, der für Verschlüsselung zuständig ist. Unter den Laggards sind es mit 41 Prozent deutlich weniger.
Zudem managen 58 Prozent der BiCs Konfiguration und Policies zentral. Bei den Schlusslichtern sind es wiederum nur 41 Prozent. Und während 44 Prozent der "Best in Class"-Teilnehmer Implementierung und Rollout von Verschlüsselungs-Lösungen systematisieren, sind es unter den Schlusslichtern nur zwölf Prozent.
Endanwender bei IT-Sicherheit einbeziehen
Außerdem beziehen die Musterfirmen Endnutzer stärker ein. Jede zweite setzt formale Schulungen für die Endanwender auf. Bei den Laggards ist es nur jeder dritte.
Da erscheint es nur logisch, dass die besonders erfolgreichen Unternehmen bei der Frage nach den Treibern für Verschlüsselung interne Policies mit 63 Prozent an Nummer Eins setzen. Dieser Punkt kommt, wenn die Antworten von Mittel- und Schlussfeld zusammengefasst werden, nur auf 41 Prozent der Nennungen. Umgekehrt setzen 44 Prozent von Durchschnittsfirmen und Laggards die faktischen Sicherheitsvorfälle auf Rang Eins. Unter den BiCs sagen das nur 38 Prozent - vermutlich, weil sie weniger Störfälle haben.
Aberdeen hat auch gefragt, was Verschlüsselung hemmt. Alle Studienteilnehmer nennen einen Punkt unisono: Die Komplexität ihrer bestehenden IT-Umgebung. Was das Thema Organisation der Verschlüsselung angeht, bestätigen sich die Ergebnisse: 23 Prozent der Nicht-Klassenbesten geben Probleme mit unklaren Verantwortlichkeiten zu Protokoll. Unter den BiCs sind es mit sechs Prozent deutlich weniger - die meisten von ihnen regeln diesen Punkt.
Verschlüsselung zentral managen
Das Fazit der Analysten liegt denn auch auf der Hand: Nur, wer Verschlüsselung zentral managt und klare Verantwortlichkeiten benennt, profitiert davon. Dabei wollen die Studienautoren das Thema in ein übergeordnetes Datenschutzkonzept eingebettet sehen.
Aberdeen hat für die Studie "Full-Disk Encryption" mit Entscheidern aus mehr als hundert Unternehmen gesprochen.