Die Mitarbeiter nutzen Social Media, jedes Unternehmen hat einen immensen E-Mail-Verkehr. Da dürfte es doch heutzutage eigentlich keinen Vorstand mehr geben, der das Thema IT-Risikomanagement nicht auf der Agenda hat.
Ja und nein. Wir sehen schon, dass das Bewusstsein für IT-Gefahren in Unternehmen in den letzten Jahren stark zugenommen hat. In erster Linie liegt das daran, dass private und berufliche Elemente sich zunehmend vermischen – an vielen Stellen ist das gewollt, aber das schafft natürlich auch erhebliche Risiken. An sich liegen diese Gefahren auf der Hand, aber bisher sind es vor allem große Konzerne, die das Thema nach unseren Erfahrungen richtig anpacken. Dort spielt das IT-Risikomanagement heute eine deutlich größere Rolle als noch vor zwei oder drei Jahren.
Woran machen Sie das fest?
Viele nehmen heute mehr Geld in die Hand, um sich gegen IT-Gefahren abzusichern. Und Unternehmen, die besonders gefährdet sind, Opfer von Industriespionen zu werden, weil sie beispielsweise stark von Innovationen getrieben sind, beschäftigen auch immer öfter einen eigenen Chief Information Security Officer (CISO).
Für kleinere Unternehmen dürfte ein eigenes Ressort auf Ebene der Geschäftsleitung aber nur schwer umzusetzen sein.
Das stimmt, das ist natürlich eine ganz klare Kostenfrage. Deshalb sehen wir immer noch ein deutliches Gefälle bei der Absicherung zwischen kleinen und großen Unternehmen. Aber auch die Großen sind weit von einem „State of the Art“ entfernt.
Woran hakt es denn in der Praxis besonders?
Selbst wenn Unternehmen guten Willen zeigen und ordentlich in ihre IT-Infrastruktur investieren – IT-Projekte sind nun einmal von Natur aus besonders fehleranfällig. Das fängt schon bei allgemeinen Punkten an – beispielsweise, dass ein Projekt nicht klar abgegrenzt ist oder die Ziele von vornherein zu ambitioniert sind. Oft werden die Projektleiter auch nicht nach ihrer fachlichen Expertise, sondern aus unternehmenspolitischen Gründen ausgewählt. Häufig scheitern IT-Projekte an Punkten, die eigentlich als Selbstverständlichkeiten gelten. Gerade im IT-Bereich sieht man immer wieder, dass kleine Fehler ein komplettes Projekt zum Scheitern bringen können.
Abgesehen von diesen generellen Regeln: Was muss ein Unternehmen denn konkret tun, um sich gegen interne oder externe IT-Angriffe zu schützen?
Die Unternehmensspitze muss den Ton angeben und den Mitarbeitern klar machen, welche Bedeutung das Risikomanagement insbesondere in der IT hat – der berühmte „Tone from the Top“. So simpel es klingt: Das Thema muss auf allen Ebenen ernst genommen werden und Teil der Unternehmenskultur sein. Das beginnt schon damit, dass „hinter vorgehaltener Hand“ nicht etwas anderes erzählt wird. Außerdem ist es wichtig, dass ein Unternehmen für sich klar definiert, welche Informationen als vertraulich oder geheim behandelt werden sollen. Die meisten neigen dazu, viel zu viele Informationen als vertraulich oder geheim einzustufen – dann verlieren die Mitarbeiter schnell die Übersicht. Entscheidend ist, dass jeder Mitarbeiter für sich die Entscheidung treffen kann, wie er mit welchen Daten umzugehen hat. Dazu braucht man auch keinen massiven bürokratischen Überbau, sondern ein geschärftes Bewusstsein bei jedem einzelnen. Dass auch zu Mitarbeitern auf unteren Ebenen zu transportieren ist eine Herkulesaufgabe, die bisher die wenigsten wirklich erfolgreich gemeistert haben.
sarah.nitsche[at]finance-magazin.de
Info
Olaf Riedel ist Partner und IT Leader Germany bei Ernst & Young.
