Geschäftsrisiken durch Compliance-Anforderungen

Eine aktuelle LSE-Studie unterstreicht die Geschäftsrisiken steigender Compliance-Anforderungen
Nur wenige Sicherheitsexperten verfügen über Know-how, um neue globale gesetzliche Vorgaben zuverlässig umzusetzen

(20.12.06) - Bei der Einhaltung gesetzlicher Vorgaben stoßen Unternehmen an die Grenzen ihrer Belastbarkeit. Im Zuge immer neuer rechtlicher Bestimmungen, die weltweit in Kraft treten, sind Firmen deshalb zusehends erheblichen Risiken für ihr Image und ihr Renommee ausgesetzt. Zu diesem Ergebnis kommt eine aktuelle Studie, die Dr. Jonathan Liebenau als Hauptdozent für Informationssysteme an der Management-Fakultät der London School of Economics (LSE) im Auftrag des IT-Security-Unternehmens McAfee erstellt hat und die der Anbieter von Sicherheitstechnologien nun vorlegt.

Der in seiner Art bisher einmalige Forschungsbericht "International Perspectives on Information Security Practices" unterstreicht die erheblichen Schwierigkeiten von Unternehmen bei der Bereitstellung jener IT-Sicherheits-Ressourcen, die erforderlich wären, um alle staatlichen Verordnungen und Bestimmungen einzuhalten. Der Autor Dr. Jonathan Liebenau warnt insbesondere davor, dass die in den USA verabschiedeten Gesetze zur Transparenz von Unternehmen deren Ruf und Ansehen schädigen können − zumal vergleichbare Auskunfts- und Rechenschaftspflichten aller Voraussicht nach zunehmend auf weltweiter Ebene wirksam werden.

Beschränkte Qualifikationen
Weiterhin offenbart die Studie, dass viele Unternehmen im Rahmen der Einhaltung gesetzlicher Regulationen lediglich auf eine sehr begrenzte Anzahl von Spezialisten mit den erforderlichen Qualifikationen zurückgreifen können: Nur wenige IT-Sicherheitsfachkräfte sind in der Lage, zum einen die Risiken für die Informationsbestände zu managen und zum anderen auch die Compliance-Herausforderungen im Detail zu verstehen. Verlieren Firmen durch Personalabgänge solche hausintern verfügbaren Kompetenzen, tun sie sich oft schwer, auf dem Arbeitsmarkt oder über Outsourcing-Modelle gleichwertigen Ersatz zu beschaffen.

Transparenzpflichten und Unternehmensimage
Das vielleicht beste Beispiel für den direkten Zusammenhang zwischen der IT-Sicherheit und strategischen Unternehmensfunktionen ist die Pflicht, die Öffentlichkeit über etwaige Sicherheitsverletzungen zu informieren. In den Vereinigten Staaten ist ein entsprechendes Gesetz seit 2004 in Kraft, führt nun aber zu ernsthaften Gefährdungen für das Ansehen und die geschäftliche Kontinuität von Firmen. So ergab eine aktuelle Studie des Ponemon-Instituts, dass in den USA mehr als ein Drittel aller Kunden (34 Prozent) ihre Bank nach einem Verstoß gegen Sicherheitsvorgaben wechseln würde.

Nach Erhebungen von Dr. Jonathan Liebenau belief sich Mitte des Jahres 2006 die Zahl von Unternehmensberichten über Verletzungen der eigenen IT-Sicherheit auf acht bis zehn pro Woche. Bis heute waren fast 94 Millionen Einträge mit vertraulichen persönlichen Informationen von solchen Vorfällen betroffen.

"Die verpflichtende Bekanntmachung von Sicherheitsverletzungen hat weit reichende Folgen für die Bestrebungen von Unternehmen, das eigene Ansehen systematisch zu schützen", betont Dr. Jonathan Liebenau als Autor der nun vorgelegten Studie: "In den Vereinigten Staaten ist es bereits üblich, solche Vorfälle publik zu machen. Rasch wird dies auch in anderen Teilen der Welt gängige Praxis werden. Das hat erhebliche Auswirkungen auf die Einstellung von Verbrauchern, Unternehmen und Behörden zum Umgang mit Daten im Allgemeinen und zum Schutz des Ansehens im Besonderen."

Steigende Risiken?
Überraschenderweise können zusätzliche Compliance-Anforderungen in der Praxis dazu führen, dass die Sicherheitsrisiken von Unternehmen steigen. Denn die verpflichtende Auseinandersetzung mit Richtlinien, Standards und Regulationen hat unter Umständen zur Folge, dass die geschäftlichen Anforderungen an den Schutz vertraulicher Daten nicht mehr ausreichend Aufmerksamkeit finden können. Hinzu kommt, dass die Kosten für Maßnahmen zur Einhaltung von Gesetzespflichten und deren Überwachung mitunter erhebliche Ressourcen binden. Diese stehen dann nicht mehr für die Abwehr aktueller Gefährdungen der IT-Sicherheit zur Verfügung.

Theorie und Praxis
Erhebungen bestätigen, dass CIOs (Chief Information Officers), Sicherheitsverantwortliche und EDV-Leiter der Auffassung sind, dass das Thema Compliance eine immer wichtigere Rolle für die IT-Sicherheit spielt. Tatsächlich aber gelingt es vielen Unternehmen nur unzureichend, diese Anforderungen auch umzusetzen. So klagt ein britischer Experte für die IT-Sicherheit im Bankwesen: "Wir kennen den Sarbanes-Oxley Act zwar genau und wissen, wozu er dient. Aber in der Praxis tut man einfach das, was machbar ist."

In diesem Zusammenhang sind drei Ergebnisse der LSE-Studie im Auftrag von McAfee von besonderer Bedeutung:
>> Aufgrund eines Mangels an guten Benchmarks ist die Bewertung von Verfahren zur IT-Sicherheit häufig sehr subjektiv.
>> Innerhalb von Unternehmen fehlt es an Konvergenz der Sicherheits-Methoden. Die Verantwortung für Richtlinien liegt häufig in den Händen anderer Mitarbeiter als das Management und die Pflege der Systemsicherheit.
>> Geschäftsführer und Manager mit Verantwortung für die Datensicherheit ärgern sich über den erheblichen Aufwand, der erforderlich ist, um Änderungen an Richtlinien und Vorgaben ständig im Auge zu behalten und im Bedarfsfall die IT-Systeme entsprechend anzupassen.

Der Sarbanes-Oxley Act auf dem Prüfstand
Unter Fachkräften für die EDV-Sicherheit herrscht Einigkeit, dass der Sarbanes-Oxley Act einen Segen für die Datensicherheit in den USA und einen Bedeutungsgewinn ihres Verantwortungsbereichs innerhalb von Unternehmen bedeutet. Nichtsdestotrotz äußern viele der leitenden IT-Mitarbeiter, die befragt wurden, auch übereinstimmende Kritik: Das Gesetz sei zu vage in seinen Spezifikationen und gleichzeitig zu strikt verordnend in seinen Sanktionen. Für die Studie „International Perspectives on Information Security Practices“ hatte Dr. Jonathan Liebenau zahlreiche Interviews mit IT-Leitern, Sicherheitsverantwortlichen, CIOs und CFOs (Chief Financial Officers) großer Finanzdienstleister aus Europa, Asien und Nordamerika geführt. Sein Ziel war es, zu bestimmen, wie die Befragten die Risiken für die Datensicherheit einschätzen und welche Prioritäten sie dabei setzen.

Über Dr. Jonathan Liebenau
Jonathan Liebenau ist Dozent an der London School of Economics am Lehrstuhl für Informationssysteme. Seine beiden Arbeitsschwerpunkte sind zum einen grundlegende Konzepte des Informationsbegriffs und zum anderen die Probleme und Aussichten von Informations- und Kommunikationstechnologien in der wirtschaftlichen Entwicklung. Zuvor war Jonathan Liebenau bei wissenschaftsnahen Unternehmen in unterschiedlichen Positionen tätig, bei denen die Informationsnutzung in Organisationen im Mittelpunkt stand – sei es in der Forschungsverwaltung, beim Management von IT-Richtlinien oder zu Fragen der Wirtschaftsgeschichte. Er ist Autor und Herausgeber mehrerer Bücher sowie 70 weiterer wichtiger Publikationen. Darüber hinaus hat er zahlreiche führende Unternehmen und Behörden als Berater unterstützt. Dazu zählen BT, IBM, Nortel, EDS, Lloyd Thompson sowie das britische Wirtschafts- und Innenministerium.

Über die London School of Economics (LSE)
Die London School of Economics and Political Science zeichnet sich durch einen in Großbritannien einzigartigen Fokus auf Forschung und Lehre zum gesamten Spektrum der Sozial-, Politik- und Wirtschaftswissenschaften aus. In der aktuellsten Fassung der von der britischen Regierung vorgelegten Research Assessment Exercice belegte die Forschung der Schule den zweiten Platz unter 200 Universitäten und Akademien – hinter Cambridge, aber noch vor Oxford. Das LSE gilt europaweit als die führende Hochschule in den Sozialwissenschaften. Zu ihren Dozenten und Absolventen zählen 13 Nobelpreisträger sowie 28 aktuelle und ehemalige Staatsoberhäupter. Das Lehrpersonal der Schule ist ebenso außergewöhnlich international besetzt wie die Doktoranden- und Studentenschaft. Auf diese Weise profitiert die LSE von hervorragenden Erkenntnissen in Forschung und Lehre in einem internationalen und vergleichenden Kontext. In den 19 Fakultäten, 27 Forschungszentren und fünf interdisziplinären Instituten sind insgesamt 700 Akademiker und Wissenschaftler tätig und verkörpern eine in die Tiefe gehende Expertise, die in den jeweiligen Arbeitsfeldern ihresgleichen sucht.

Die Mitarbeiter der LSE unterhalten beste wissenschaftliche Beziehungen zu hervorragenden Universitäten und Forschungsinstituten in aller Welt. Auf internationaler Ebene ist die Schule auf allen sechs Kontinenten an Forschungsprojekten beteiligt, die sich realen Problemen vor dem Hintergrund der raschen globalen Veränderungen widmen. (McAfee: ra)