Basic HTML-Version
56
SPEZIAL
_SICHERHEITSTECHNIK
personalmagazin 09 / 14
Zusammenarbeit mit der Geschäftslei-
tung abfragen. In der IT betreffen die
Kenntnisse in Sachen Informationsrisi-
ko nur die technische Umsetzung. Geht
es um die Analyse und Klassifizierung
der Risiken – es gibt ja durchaus Risiken,
die ein Unternehmen als noch tragbar
oder versicherbar ansieht –, muss die
Kommunikation in der Geschäftsleitung
starten. Von dort geht ein klarer Auftrag
an die IT-Abteilung, an die HR-Abteilung
und andere Abteilungen. Doch nicht
alle Informationen gehen elektronisch
verloren. 62 Prozent der kleinen und
mittleren Unternehmen und 58 Prozent
der Großunternehmen sagen, dass ihre
Hauptbedrohung bei den papierbasier-
ten Informationen liegt. Hier besteht das
„Es geht nicht nur um die IT“
INTERVIEW.
Eine Studie von PWC und Iron Mountain zeigt: Deutsche Firmen stehen
beim Informationsrisiko nicht gut da. Das Verhalten der Mitarbeiter wird unterschätzt.
personalmagazin:
Deutschland gilt als
Datenschutz-Vorzeigeland. Jetzt hat Ihre
Studie ergeben, dass die Unternehmen
beim Informationsrisiko die Schlusslich-
ter in Europa sind. Wie kommt es dazu?
Derk Fischer:
Ich würde Deutschland
nicht als Datenschutz-Vorzeigeland be-
zeichnen. Der Datenschutz-Standard ist
sehr hoch. Aber ob die Unternehmen
tatsächlich in allen Belangen diesen
Datenschutz-Vorgaben folgen, daran
habe ich persönlich meine Zweifel. In-
sofern finde ich die Studienergebnisse
nicht widersprüchlich – sie zeigen, dass
Deutschland bei der Betrachtung der
Informationsrisiken einen deutlichen
Nachholbedarf hat.
personalmagazin:
Was genau ist unter
Informationsrisiko zu verstehen?
Hans-Günter Börgmann:
Aus unserer Erfah-
rung beinhaltet das Informationsrisiko
nicht nur das technische Risiko, wie
das oft angenommen wird und auch der
Studie zu entnehmen ist: 48 Prozent der
Befragten sehen die Verantwortlichkeit
für IT-Sicherheit ausschließlich beim IT-
Manager und nur ein Prozent sieht sie
bei allen Mitarbeitern. Informationsrisi-
ko hat sehr viel damit zu tun, den un-
rechtmäßigen Zugriff und die Verbrei-
tung von Informationen – sowohl auf
digitalem als auch auf analogem Weg –
zu verhindern. Das hängt eng mit dem
Verhalten von Mitarbeitern zusammen.
Fischer:
In anderen Worten: Unter Infor-
mationsrisiko subsummieren wir all
diejenigen Risiken, die sich im Umgang
mit Informationen für ein Unternehmen
ergeben können und die von nicht so
schweren bis hin zu bestandsgefährden-
den Risiken reichen können. Wie bereits
dargestellt beziehen sie sich nicht nur
auf die IT, sondern ragen in alle Berei-
che hinein, in denen Unternehmen mit
Informationen umgehen. Dazu gehören
auch die papierbasierte und die gespro-
chene Information. Viele Unternehmen
sind zum Beispiel nicht gegen Abhören
gesichert. Stattdessen verweisen die
Verantwortlichen immer nur auf die IT-
Abteilung. Und das ist zu wenig.
personalmagazin:
Wie sollte die Zusammen-
arbeit von HR und IT gestaltet sein, um
Informationssicherheit zu gewährleisten?
Fischer:
Unsere Erfahrungen zeigen deut-
lich, dass ein strukturierter Top-Down-
Ansatz den größten Erfolg verspricht.
Zunächst ist nicht die Personalleitung
gefragt, sondern die Unternehmenslei-
tung. Sie muss sagen, wie sie mit dem
Thema „Informationsrisiko“ umgehen
will, welches Sicherheitsniveau das
Unternehmen anstrebt und was sie
erreichen will. Das müssen dann der
HR-Bereich und die anderen Bereiche
umsetzen, natürlich unter Berücksichti-
gung organisatorischer und gesetzlicher
Vorgaben. Dabei hilft die IT mit techni-
schen Maßnahmen – aber bitte unter ei-
ner entsprechenden Schutzbedarfs- und
Bedrohungsanalyse, die exakt vorgibt,
welche Sicherheit durch die IT erreicht
werden soll.
Börgmann:
Die Frage zeigt ganz pragma-
tisch, dass in Deutschland das Verständ-
nis vorherrscht, das Thema sei in erster
Linie über die IT anzugehen. Ich würde
die Frage daher umformulieren und die
DERK FISCHER
ist Partner im Bereich Risk
Assurance Solutions bei der Wirtschaftsprü-
fungsgesellschaft PWC Deutschland.