Forrester-Studie: Innerer Datenschutz und Compliance:
Betriebsgeheimnisse in Unternehmen meist unzureichend geschützt

von Lars Bube (lars.bube@crn.de)

Share
07.04.2010

Während das Bewusstsein für den Schutz der »externen« Daten in deutschen Unternehmen langsam aber sicher wächst, wird im »inneren« noch meist grob geschlampt. Obwohl der Diebstahl von Betriebsgeheimnissen etwa zehnmal teurer kommt als der unabsichtliche Verlust von Daten durch Sicherheitslücken, wird noch viel zu wenig für die »innere Sicherheit« unternommen.

Keine Beiträge im Forum. » Diskussion starten!

Die Absicherung der inneren Datenwerte wird allzu oft sträflich vernachlässigt. (Bild: Amy Walters, Fotolia.com)

In den letzten Jahren haben die meisten Unternehmen durch die Medienberichte über stetig neue Datenskandale, das neue Datenschutzgesetz und die wachsenden Compliance-Anforderungen einiges dazugelernt, was ihre Absicherung betrifft. So wichtig diese Entwicklung eines gesteigerten Verständnisses (und Etats) für Datensicherheit ist, birgt sie auf der anderen Seite doch auch eine nicht unerhebliche Gefahr.

Denn viele IT-Verantwortliche konzentrieren den Blick in Sachen Datensicherheit vor allem auf die »externen« Daten, wie die bei ihnen vorliegenden Kundeninformationen. Gleichzeitig werden »interne« Daten, die mindestens ebenso wertvoll und schützenswert sind, meist stiefmütterlich behandelt. Wie unzureichend und risikobeladen diese Fokussierung auf die externen Datenschätze im Einzelnen ist, zeigt jetzt die Studie »The Value of Corporate Secrets«, die von Forrester [1] Consulting im Auftrag von Microsoft [2] und RSA [3], der Sicherheitsabteilung von EMC [4], unter 305 Entscheidungsträgern für IT-Sicherheit weltweit durchgeführt wurde:

Zwar haben die meisten Unternehmen das Thema Compliance inzwischen ganz gut im Griff, so dass 90 Prozent der Befragten angaben, dass die Compliance mit PCI-DSS (Payment Card Industry Data Security Standard) und Datenschutzregeln sowie der Schutz vor Sicherheitslücken im Zentrum ihrer Vorkehrungen stehen. Im Durchschnitt geben die Unternehmen 39 Prozent des Unternehmensetats für (IT-)Sicherheit dafür aus. Allerdings stellen die damit abgedeckten Compliance-bezogenen externen Daten gleichzeitig lediglich 38 Prozent des Gesamtwertes an vorhandenen Informationen in Unternehmen dar.

Zehnmal teurer als »normaler« Datenverlust

Gerade in den Wissens-Industrien ist der Anteil der Betriebsgeheimnisse besonders hoch. (Grafik: Forrester Consulting)

Mit 62 Prozent stellen somit die internen Daten und die darin enthaltenen Betriebsgeheimnisse den größeren Teil des Gesamtwerts an Informationen. Auch wenn die vielfältigen wie sinnvollen Compliance-Bestrebungen somit den Blick für die Verbesserung der Sicherheitsausstattung und des Umgangs mit externen Daten geschärft haben, droht dahinter der traditionelle Schwerpunkt der Sicherheitsbestrebungen zu verschwimmen: Der Schutz von wertvollen Betriebsgeheimnissen.

»Unternehmen investieren vorbildlich in die Sicherheit von Kunden- und Kontodaten, jedoch sollten sie mehr Wert auf den Schutz ihres geistigen Eigentums und der für ihre Organisation wichtigen Daten legen«, fordert deshalb Sam Curry, CTO Marketing bei RSA. »Der Verlust geistigen Eigentums kann langfristige Schäden für die Wettbewerbsfähigkeit nach sich ziehen.«

Noch drastischer wird dieses Missverhältnis wenn man bedenkt, dass ein Diebstahl von Betriebsgeheimnissen ein Unternehmen im Schnitt etwa zehnmal teurer kommt als der unabsichtliche Verlust von Daten durch Sicherheitslücken. Gerade der Diebstahl von Informationen durch interne oder externe Mitarbeiter hat in der Krise wieder enorm zugenommen, wird aber weiterhin meist unterschätzt, wie Tom Köhler, Director Security Strategy & Communication bei Microsoft Deutschland, warnt: »Das Risiko durch Insider sowie für Diebstahl und Datenverlust nimmt stetig zu. Dies bedeutet, je mehr ein Unternehmen an Informationswerten verlieren kann, desto höher ist die Gefahr krimineller Aktivitäten.«

Wertvolle Informationen identifizieren und schützen

Die teuersten Datenverluste kommen von innen. (Grafik: Forrester Consulting)

Ein weiteres interessantes Ergebnis der Umfrage: Unabhängig von der Bandbreite an wichtigen Informationen, Sicherheitsausgaben oder der Anzahl von registrierten Daten-Vorfällen, schätzen fast alle Unternehmen ihre Kontrollen als fast gleich effektiv ein. Gleichzeitig wissen die meisten jedoch nicht, ob ihre Datensicherheitsvorkehrungen tatsächlich funktionieren. Die einzige Kontrollmethode ist meist die reine Zählung der Vorfälle.

Forrester, Microsoft und RSA haben in der Studie einige Empfehlungen zusammengestellt, mit deren Hilfe Unternehmen ihre Informationssicherheitsstrategie ausgewogen gestalten können. Dazu gehören:

  • Identifizierung der wertvollsten Informationen im Unternehmen
  • Aufbau eines Risikoregisters mit spezifischen Bedrohungsszenarien
  • Einschätzung und Neubewertung der Balance zwischen Compliance und Schutz von Betriebsgeheimnissen
  • Erhöhte Aufmerksamkeit bei externen Geschäftsbeziehungen
  • Messung der Effektivität genutzter Datensicherheitsprogramme

Die komplette Studie »The Value of Corporate Secrets« können Sie hier [5]herunterladen.

[1] http://www.forrester.com/
[2] http://www.microsoft.com/de/de/default.aspx
[3] http://www.rsa.com/
[4] http://germany.emc.com/
[5] http://www.microsoft.com/DLP

Verwandte Artikel