Compliance-Anforderungen und begrenzte Budgets
Studie zur IT-Sicherheit bei Finanzunternehmen zeigt: Bedrohungen wachsen schneller als die Budgets
Insgesamt nimmt die Entsprechung regulatorischer Compliance-Vorgaben den meisten Aufwand bei den IT-Sicherheitsbeauftragten in Anspruch
(12.03.09) - Mehr denn je ist Informationssicherheit in der Finanzbranche entscheidend für das Kundenvertrauen. Die Verantwortlichen wissen dies – werden jedoch meist von begrenzten Budgets gehemmt, alle Möglichkeiten voll auszuschöpfen. Lediglich ein Drittel verfügt über alle benötigten Mittel. Die Furcht vor Datenverlust oder der Offenlegung sensibler Daten ist für sie zum Fokusthema angewachsen, während das Mitarbeiterverhalten sowie die immer raffinierteren Methoden von Cyber-Kriminellen weiterhin ihre Aufmerksamkeit fordern.
Insbesondere das Sicherheitsbewusstsein der Mitarbeiter sorgt vermehrt für Probleme – im Gegensatz zu technischen Fragen. Insgesamt nimmt jedoch die Entsprechung regulatorischer Compliance-Vorgaben den meisten Aufwand bei den IT-Sicherheitsbeauftragten in Anspruch. So lauten einige Ergebnisse des sechsten jährlichen "Global Security Survey", für den Deloitte weltweit Vertreter der wichtigsten Banken, Versicherungen und anderer Finanzdienstleister befragte.
"Unternehmen der Finanzbranche stehen im Zentrum der aktuellen Turbulenzen. Umso wichtiger ist es, Sicherheit zu vermitteln – gerade nach außen gegenüber den Kunden, beispielsweise bei der Datensicherheit und dem Datenschutz. Aber auch nach innen im Hinblick auf sichere Prozesse, eine funktionierende IT und geschützte Assets. Die Unternehmen sind in einzelnen technischen und personellen Maßnahmen schon recht gut aufgestellt, attestieren sich selbst aber durchaus noch Verbesserungspotenzial – speziell im aktuellen Umfeld", kommentiert Dr. Andreas Knäbchen, Partner Enterprise Risk Services bei Deloitte.
Angst vor Datenverlust
Eine der größten Gefahren sehen die Verantwortlichen im Verlust oder in der Offenlegung von wertvollen Unternehmensdaten – weshalb der Schutz derselben erstmals in die Top 3 der wichtigsten Sicherheitsziele aufgestiegen ist. Grund dafür ist neben den jüngsten schlagzeilenträchtigen Vorfällen vor allem die Erkenntnis über die stetig steigende Bedeutung der Datensicherheit und des Datenschutzes für die Vertrauenswürdigkeit des Unternehmens.
Compliance ist entscheidend
Die höchste Priorität beim Sicherheitsmanagement der Finanzinstitutionen hat die Konformität der Sicherheitssysteme und -mechanismen mit den regulatorischen Vorgaben sowohl des Gesetzgebers als auch interner oder konzernweiter Bestimmungen. Entscheidend ist, dass Compliance und Risikomanagement direkten Einfluss auf den Unternehmenswert haben. Das größte Problem sehen die Befragten dabei in der lückenlosen Erfüllung der Compliance-Anforderungen bei beschränkten finanziellen Mitteln.
Ursache: menschliches Versagen
Das wertvollste Unternehmenskapital sind die Mitarbeiter – aber auch das größte Risiko. Dabei muss es sich nicht um vorsätzliches Fehlverhalten oder gar Kriminalität handeln: Vor allem menschliches Versagen und folgenschwere Irrtümer werden von 86 Prozent als maßgeblichste Gefahr gefürchtet. Technisch bedingte Risiken stehen dagegen nur für 63 Prozent ganz oben auf der Liste. Schließlich gehen die meisten Datenverluste nicht auf externe Angriffe oder technische Probleme, sondern interne Vorfälle aufgrund menschlicher Fehlleistungen zurück. Jedoch schulen gerade einmal zwei Drittel der Unternehmen ihre Mitarbeiter mindestens einmal im Jahr.
Budgets stagnieren
Trotz steigender Anforderungen und steigender Risiken, z.B. im Hinblick auf frustrierte oder überlastete Mitarbeiter in der aktuellen Wirtschaftslage, wachsen die IT-Sicherheitsbudgets nicht entsprechend mit. Ein großer Teil der Unternehmen wendet nicht mehr als ein bis drei Prozent des Budgets für IT-Sicherheit auf. Ein Grund ist, dass die erforderlichen Investitionen für Produkte und Systeme aufgrund der Markt- und Preisentwicklung eher niedrig ausfallen. Insgesamt haben acht Prozent ihre Budgets um mehr als 15 Prozent erhöht, aber ebenso acht Prozent ihre Budgets reduziert.
Mehr Unterstützung durch das Management
Was sind die größten Hindernisse bei der Umsetzung eines adäquaten Sicherheitsmanagements? Laut Studie beklagen 56 Prozent eine unzureichende finanzielle Ausstattung – wobei die aktuelle Wirtschafts- und Finanzkrise aufgrund des Erhebungszeitraums noch nicht voll berücksichtigt ist. 38 Prozent sehen die größte Herausforderung in der zunehmenden Komplexität der vielfältigen Bedrohungen. Hier ist eine Abnahme der Nennungen gegenüber dem Vorjahr zu beobachten – was darauf schließen lässt, dass die IT-Sicherheitsbeauftragten die Lage zunehmend besser unter Kontrolle haben. Auch die Unterstützung durch das Management hat sich in den vergangenen zwölf Monaten klar verbessert: Gegenüber dem Vorjahr nahmen die Nennungen als maßgebliches Hindernis um ganze 15 Prozent ab.
"Die Studie zeigt deutlich, dass maximale Informationssicherheit nur durch eine ausgewogene Kombination von technischen Lösungen, geschulten Mitarbeitern, einer langfristig angelegten, flexiblen Sicherheitsstrategie sowie einem umfassenden, richtig organisierten Sicherheitsmanagement erreicht werden kann. Gerade in letztem Punkt ist für 2009 großer Fortschritt zu erwarten: Mehr Unternehmen als je zuvor verfügen über einen Chief Information Security Officer – und dessen Aufgaben verlagern sich immer deutlicher in Richtung Security Governance und strategische Planung", resümiert Dr. Andreas Knäbchen. (Deloitte: ra)
Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>