Unter den Finanzdienstleistern geben die Befragten übereinstimmend an, dass ihre Klientel sehr großen Wert auf Datensicherheit legt. Als Achillesferse in der Sicherheitsstrategie erweist sich jedoch häufig die Informationstechnologie. Hier ist die Bedrohungslage besonders dramatisch.
84 Prozent der Zwischenfälle in Firmennetzwerken werden von Viren oder Trojanern verursacht. Ziel der Versicherer sollte daher ein Sicherheitsmanagement sein, das Schäden verhütet und negative Auswirkungen auf Reputation und Ergebnis abfängt. Das sind die Ergebnisse der Studie „Managementkompass Sicherheitsstrategien“ von Steria Mummert Consulting in Zusammenarbeit mit dem F.A.Z.-Institut.
Nach aktuellen Erhebungen ist bereits jedes zweite Unternehmen Opfer von Angriffen auf die IT, wobei die Dunkelziffer hoch ist, da Unternehmen Imageverluste vermeiden wollen. Neben bekannten Risiken wie Datenmissbrauch gehen vor allem von der Vernetzung hohe Gefahren aus. Um Daten zu schützen, ist jedoch Sicherheit nach dem Fort-Knox-Prinzip nicht immer die richtige Lösung. Denn aufgrund von Kooperationen mit anderen Unternehmen und Dienstleistern sowie der Verwendung elektronischer Vertriebskanäle lässt sich die IT kaum noch hermetisch abriegeln. Der langfristig sinnvollere Weg ist daher eine an das Geschäftsmodell angepasste Öffnung der Datenwege unter Beachtung der maximalen Sicherheitsanforderungen.
Diese sollten verbindlich für alle Dienstleister und Zulieferer festgelegt werden. Dazu ist eine umfassende Sicherheitsstrategie im eigenen Unternehmen erforderlich. Im Vergleich zu anderen Branchen sind Finanzdienstleister relativ gut auf solche Strukturen vorbereitet. 72 Prozent der Banken und Versicherungsunternehmen beschäftigen beispielsweise einen Sicherheitsbeauftragten, 64 Prozent haben Sicherheitsrichtlinien festgelegt. Dies macht durchaus Sinn, denn Finanzdienstleister sind in der Regel deutlich stärker vernetzt als Unternehmen anderer Branchen.
43 Prozent erlauben Kunden und Partnern den Zugang zur hauseigenen IT. Unter den befragten Großunternehmen verfügen 30 Prozent über externe Zugänge zur Informationstechnik des Instituts.
Achillesferse Mobildaten
Neben externen Angriffen darf in den Unternehmen auch die Gefährdung durch mutwillige Störungen aus dem Inneren des eigenen Hauses nicht übersehen werden. Die Motivation kann Rache oder Frust von Mitarbeitern sein, aber auch Fahrlässigkeit und Unachtsamkeit. Interne Täter sind am schwersten zu bekämpfen, da sie bereits Wissen über die IT-Infrastruktur und die Sicherheitsmechanismen besitzen. Eine Einschränkung der Rechte und Zugriffsmöglichkeiten stellt dabei einen wesentlichen Aspekt dar. Doch selbst Unternehmen, die ihre IT scheinbar gut abgedichtet haben, übersehen oft ein kritisches Einfallstor: mobile Geräte. So verwenden 85 Prozent der Unternehmen in Deutschland Laptops, PDAs und Blackberries, aber nur 60 Prozent von ihnen haben diese technisch und organisatorisch gegen unbefugten Zugriff gesichert. Eine Sicherheitsstrategie, die auch diese Einfallstore berücksichtigt, kann nur erfolgreich sein, wenn den Mitarbeitern das Thema bewusst gemacht wird und sie aktiv zur Prävention beitragen.
Hier hat sich gezeigt, dass eine einfache Verteilung und Bekanntmachung der Sicherheitsrichtlinien nicht ausreicht. Denn das Gefährdungspotenzial wird durchweg unterschätzt. Hier sollte die Unternehmensführung mit Schulungen das notwendige Know-how herstellen.
Sicherheit in einer Hand
Damit die Maßnahmen insgesamt auch konsequent umgesetzt werden, sollten alle Versicherer die Position eines IT-Sicherheitsbeauftragten etablieren. Er fungiert als Koordinator für alle Belange, welche die Sicherheitsstrategie betreffen und dient als kompetenter Ansprechpartner bei auftretenden Fragestellungen.
Der IT-Sicherheitsbeauftragte muss dabei vor allem über einen soliden Rückhalt in der Geschäftsführung verfügen, um risikominimierende Maßnahmen durchsetzen zu können.