PwC: "Performance armselig"

Mittelstand schlecht im Datenschutz

Werner Kurzlechner lebt als freier Journalist in Berlin und beschäftigt sich mit Rechtsurteilen, die Einfluss auf die tägliche Arbeit von Finanzentscheidern nehmen. Als Wirtschaftshistoriker ist er auch für Fachmagazine und Tageszeitungen jenseits der IT-Welt tätig.

Die deutschen Unternehmen schneiden dabei noch weitaus schlechter ab als der europäische Durchschnitt. Lediglich 39,7 Punkte konnten hierzulande erzielt werden, erhebliche Defizite bestehen in allen vier untersuchten Kategorien.

Ungarn vorne, UK hinten

Einäugiger unter Blinden im europäischen Vergleich ist Ungarn, das mit 45.4 Punkten den besten Wert erzielte. Dahinter folgen Spanien mit 42,2 und Frankreich mit 41,7. Dann kommt die Bundesrepublik, die immerhin die Niederlande mit 39,5 und Großbritannien mit glatt 36 hinter sich lassen konnte.

Im Branchenvergleich liegen die Finanzdienstleister zwar auch deutlich unter 50 Punkten, aber mit 46,3 dennoch ganz vorne. Die 40 Punkte-Markten knackten noch die Versicherer und Pharmafirmen, während Fertigung und Maschinenbau sowie juristische Dienstleister darunter blieben.

Die formale Verantwortung für das desaströse Abschneiden haben scheinbar IT-Sicherheitsmanager und CIOs, die in 35 Prozent respektive 22 Prozent der Firmen für das Thema zuständig sind. Tatsächlich werden die IT-Chefs von den Analysten aber entlastet. Eine entscheidende Ursache für die haarsträubenden Resultate ist demnach, dass viele Unternehmen das Problem rein technologisch anpacken und alleine mit Hilfe von Tools in den Griff bekommen wollen – was nicht funktioniert.

In der Studie kommt vor allem das Management schlecht weg, weil es die Zügel schleifen lässt. Nur in 13 Prozent der Firmen machen CEO, Geschäftsführer oder CFO die Informationssicherheit zur Chefsache, nur ein Prozent der Befragten behauptet, dass alle Mitarbeiter für das Thema verantwortlich seien. „Die Business-Verantwortlichen ignorieren die Gefahr, die von Datensicherheitsrisiken ausgeht“, kritisiert Richard Sykes, Risk Compliance-Experte bei PwC. Historisch sei das Problem immer als IT-Frage behandelt worden, was sich bis heute in den Reporting-Kanälen widerspiegle. „Aber das ist eine komplett falsche Konzeption und muss sich ändern“, fordert Sykes.

Zur Startseite