Iron Mountain Studie zum Umgang europäischer Unternehmen mit Informationen: Deutschland nur im hinteren Mittelfeld

Erster Europäischer Information Risk Index: Warnschuss auch für deutsche Unternehmen / Iron Mountain und PwC fordern Verbesserung bei Informationssicherheit und -management
Iron Mountain Studie zum Umgang europäischer Unternehmen mit Informationen: Deutschland nur im hinteren Mittelfeld
Iron Mountain Information Risk Maturity Index

Madrid, 23. März 2012 – Der Großteil der europäischen Unternehmen geht fahrlässig mit dem Schutz seiner Informationen um und setzt sich so überflüssigen Unternehmensrisiken durch Datenverluste aus. Das ist ein Ergebnis einer gemeinsamen europaweiten Studie* von Iron Mountain (www.ironmountain.de) und PwC, die gestern auf dem Iron Mountain Information Risk Summit in Madrid vorgestellt wurde. Überraschend schneidet dabei Deutschland ab: Bei dem auf der Erhebung resultierenden europäischen Vergleichsindex (Information Risk Maturity Index) landeten deutsche Unternehmen im Vergleich mit fünf europäischen Ländern nur im hinteren Mittelfeld. Dabei zeigt der Bericht erheblichen Nachholbedarf: Nur etwa die Hälfte der befragten mittelständischen Unternehmen zählt den Verlust sensibler Informationen zu den drei größten Unternehmensrisiken. Nicht einmal ein Viertel wusste, ob in ihrem Unternehmen in den letzten drei Jahren eine Datenschutzverletzung stattgefunden hat. Der Bericht „Beyond cyber threats: Europe“s First Information Risk Maturity Index“ ist ab sofort unter www.ironmountain.co.uk/risk-management abrufbar.

Ergebnisse der Studie im Überblick

– Nur etwa die Hälfte der mittelständischen Unternehmen zählt den Verlust geschäftskritischer Informationen zu den drei größten Unternehmensrisiken.

– Gerade 24 Prozent der Befragten wussten, ob es in den letzten drei Jahren in ihrem Unternehmen einen Datenschutzvorfall gab.

– Nur ein Prozent der Studienteilnehmer sind der Auffassung, dass alle Mitarbeiter eines Unternehmens mitverantwortlich für Informationssicherheit sind. 60 Prozent hingegen konnten keine Auskunft darüber geben, ob ihren Mitarbeitern das richtige Wissen bzw. die richtigen Mittel zum Schutz von Informationen zur Verfügung stehen.

– Nur 13 Prozent der Unternehmen meinen, dass Informationssicherheit Angelegenheit des Vorstands sein sollte. Dagegen sieht ungefähr ein Drittel (35 Prozent) die Zuständigkeit für Informationssicherheit – sowohl für papierbasierte als auch für digitale Informationen – ausschließlich bei der IT-Abteilung.

– Die Einschätzung von Informationsrisiken als reines IT-Problem ist weit verbreitet: 59 Prozent der Unternehmen reagieren auf eine Datenschutzverletzung mit der Installation zusätzlicher IT-Lösungen.

– Gerade einmal ein Drittel (36 Prozent) der Befragten hat die Verantwortung für die Informationssicherheit einem bestimmten Mitarbeiter oder Team übertragen und evaluiert deren Effektivität regelmäßig.

Warnschuss für Unternehmen

Auf dem Iron Mountain Information Risk Summit wurde klar: Unternehmen müssen weiterhin mit Verlusten und Image-Schäden durch Datenschutzverletzungen rechnen, wenn sie keine Sofortmaßnahmen einleiten, um den Schutz und das Management vertraulicher Unternehmensdaten zu verbessern. So muss Informationssicherheit endlich ein Managementthema auf Vorstandsebene werden. Außerdem sind Veränderungen im Mitarbeiterverhalten sowie ein kulturelles Umdenken auf Führungsebene dringend erforderlich, um der herrschenden Gleichgültigkeit und Nachlässigkeit sowie dem fehlenden Verantwortungsgefühl entgegenzusteuern. Denn das größte Sicherheitsrisiko für Informationen gehe, so ein weiteres Studienergebnis, von den Mitarbeitern aus. Jeder einzelne müsse deshalb für die Sicherheit der Informationen seines Unternehmens mitverantwortlich sein und diese Verantwortung ernst nehmen.

Marc Duale, President of International bei Iron Mountain, bezeichnet die Ergebnisse der Studie als Warnschuss für europäische Unternehmen: „Unternehmen müssen endlich aus ihrer Informationsapathie aufwachen und eine Unternehmenskultur der Informationsverantwortung etablieren. Wer jetzt nicht handelt, setzt nicht nur die Informationen seiner Kunden ernstzunehmenden Risiken aus, sondern fügt dadurch möglicherweise auch seinem eigenen Unternehmen irreparable Image-Schäden zu.“

Für William Beer, Director Cyber and Information Security Practice bei PwC UK, ist es nicht überraschend, dass Unternehmen aller Größen und Branchen Schwierigkeiten bei der Sicherung ihrer Informationen haben: „Informationssicherheit basiert auf drei Elementen: Menschen, Prozesse und Technologien. Viele Unternehmen konzentrieren sich beim Schutz ihrer Informationen zu sehr auf die Investition in Technologie. Aber das ist kein Allheilmittel. Denn gerade mittelständische Unternehmen können auch mit geringerem finanziellen Aufwand den Schutz ihrer Informationen verbessern, indem sie ausgehend von der Unternehmensleitung einen Wandel der Unternehmenskultur herbeiführen, neue Prozesse implementieren und ihr Personal entsprechend schulen.“

Maßnahmen zur Verbesserung der Informationssicherheit

Auf Basis der Ergebnisse des Information Risk Maturity Index hat Iron Mountain einige Schritte und Maßnahmen zusammengestellt, mit denen Unternehmen die Sicherheit ihrer Informationen verbessern können.

Schritt 1: Informationssicherheit in den Zuständigkeitsbereich des Vorstands
Der Verlust von Informationen kann für ein Unternehmen existenzgefährdend sein. Informationssicherheit gehört deshalb zwingend in den Zuständigkeitsbereich des Vorstands beziehungsweise der Geschäftsführung und sollte ein ständiger Punkt auf deren Agenda sein. Es empfiehlt sich, dass ein Vorstandsmitglied explizit die Verantwortung für das Thema übernimmt. Darüber hinaus sollte Informationssicherheit in das Controlling der Unternehmensperformance miteinbezogen werden.

Schritt 2: Kultur der Informationssicherheit am Arbeitsplatz herstellen
Unternehmen sollten Maßnahmen zur Sensibilisierung ihrer Mitarbeiter für das Thema Informationssicherheit entwickeln und umsetzen. Dazu sollten regelmäßige, auf einzelne Abteilungen abgestimmte Schulungen gehören. Best Practices und Incentives für den vorbildlichen Umgang mit Informationen können das allgemeine Bewusstsein für Informationssicherheit auf allen Hierarchieebenen erhöhen.

Schritt 3: Verbindliche Richtlinien
Unternehmen müssen ihren Mitarbeitern verbindliche Richtlinien für den sicheren Umgang mit Informationen an die Hand geben. Diese sollten alle Datenformate (elektronisch, papierbasiert etc.) abdecken. Außerdem müssen sie Schwachstellen, die sich aufgrund manueller, nicht automatisierter Informationsverarbeitung ergeben, identifizieren. Dazu können auch Möglichkeiten für die Mitarbeiter beitragen, anonym Hinweise auf Verbesserungsmöglichkeiten zu geben. Alle Systeme und Prozesse müssen in regelmäßigen Abständen auf den Prüfstand.

Weitere Informationen zu Iron Mountain finden sich unter www.ironmountain.de.

*Methodik: Zur Erstellung des europaweit ersten „Information Risk Maturity Index“ für mittelständische Unternehmen hat PwC das Informationsmanagement 600 führender europäischer Unternehmen untersucht. Dafür wurden 600 Führungskräfte von Unternehmen mit 250 bis 2500 Mitarbeitern aus Deutschland, Großbritannien, Frankreich, Spanien, den Niederlanden und Ungarn befragt. Die Ergebnisse zeigen, dass der Großteil der Unternehmen keine oder nur wenige Maßnahmen zur Vorbeugung von Informationsrisiken wie Datenschutzverletzungen, Datenverlusten oder dem Verstoß gegen Compliance-Richtlinien getroffen hat. Im Durchschnitt erzielen die europäischen Unternehmen gerade einmal 40,6 von möglichen 100 Punkten. Der Information Risk Maturity Index bewertet dabei eine Reihe von Maßnahmen, deren Implementierung und regelmäßige Überwachung dazu beiträgt, digitale und papierbasierte Unternehmensinformationen zu schützen. Dazu zählen Maßnahmen aus den Bereichen Strategie, Personal, Kommunikation und Sicherheit. Je mehr Anforderungen aus diesen unterschiedlichen Bereichen ein Unternehmen erfüllt, desto höher fällt seine Bewertung im Index aus.
Über Iron Mountain

Iron Mountain bietet umfassende Lösungen rund um das Management von Informationen. Die Experten von Iron Mountain helfen Unternehmen, geeignete Lösungen für die sichere sowie rechtmäßige Aufbewahrung und schnelle Verfügbarkeit ihrer Dokumente und Daten zu finden. Dabei profitieren Kunden sofort von planbaren Kosten und optimierten Prozessen sowie vom umfassenden Know-how des Dienstleisters für ein effizientes Informationsmanagement. Als weltweiter Service-Partner mit 60 Jahren Erfahrung kümmert sich Iron Mountain sowohl um physische Dokumente als auch digitale Daten und deckt dabei den gesamten Lebenszyklus der Informationen ab – von der sicheren Aufbewahrung bis zur Vernichtung. 1951 gegründet, verzeichnet Iron Mountain inzwischen mehr als 140.000 Unternehmenskunden in Nordamerika, Europa, Lateinamerika sowie im asiatisch-pazifischen Raum und verwaltet in seinen Archiv- und Rechenzentren Milliarden von Daten und Informationen. Weltweit beschäftigt Iron Mountain über 20.000 Mitarbeiter und erzielte im Jahr 2010 einen Umsatz von 3,1 Milliarden US-Dollar. 95 Prozent der Euro Stoxx 50-Unternehmen zählen zu den Kunden von Iron Mountain. In der Fortune 1000 Liste rangiert Iron Mountain auf Platz 643.

www.ironmountain.de

Iron Mountain Deutschland GmbH
Verena Garske
Hindenburgstraße 162
22297 Hamburg
+49 (0)40 52108-182
www.ironmountain.de
vgarske@ironmountain.de

Pressekontakt:
Schwartz Public Relations
Bernhard Krause
Sendlinger Straße 42A
80331 München
bk@schwartzpr.de
+49 (0) 89-211 871-45
http://www.schwartzpr.de