In einer kürzlich vom zur Heise Gruppe gehörenden IT-Analysten techconsult durchgeführten und von dem Münchner Compliance Software Spezialisten AKARION AG unterstützten Studie wurden Unternehmen aus allen Branchen zum Umsetzungsgrad von Datenschutz- und Informationssicherheits-Management-Systemen befragt.

Neben technischen Maßnahmen wie Firewalls, IDS und co., sind organisatorische Regelungen, Awarenessbildung und die Compliance mit gesetzlichen Vorgaben und Normen wie der ISO 27001, dem BSI Grundschutz oder der TISAX wichtige Werkzeuge, um Unternehmen gegenüber Gefahren abzusichern.

Angreifer sind nicht wählerisch und so steigt die Wichtigkeit eines soliden Datenschutz- und Informationssicherheits-Management-Systems bei Unternehmen jeglicher Größe und Branche. Sie müssen sicherstellen, dass sensible, personenbezogene Daten geschützt und die Risiken in IT-Prozessen und Systemen möglichst minimiert werden. Das kann nur erreicht werden, wenn diesen Themen der angemessene Stellenwert im Unternehmen zugewiesen wird und die Sicherheit mit den geeigneten Werkzeugen gewährleistet werden kann.

Doch welchen Stellenwert messen Unternehmen dem Datenschutz- und der Informationssicherheit im Alltag wirklich bei? Wie zufrieden sind die Entscheider mit der Umsetzung? Wie hoch ist der Verbreitungsgrad dezidierter Datenschutz- und Informationssicherheitsmanagement-Lösungen? Und welche Vorteile und Herausforderungen sehen Unternehmen im Zuge der Implementierung und des Betriebs solcher Spezialsoftware?

Um diese Fragen zu beantworten, wurden Entscheider oder stark am Entscheidungsprozess beteiligte Personen im März 2022 zu ihrer Zufriedenheit mit der Reife von Datenschutz und Informationssicherheit in ihren Unternehmen, dem Implementierungsgrad von Software-gestützten DSMS- und ISMS-Lösungen sowie zu Vorteilen und Herausforderungen, die mit dem Einsatz dieser Software Hand in Hand gehen, befragt.

Die Ergebnisse sind ebenso erstaunlich wie besorgniserregend: So beklagen mehr als 30% der befragten Entscheider, dass Datenschutz und Informationssicherheit nur einen geringen Stellenwert bei ihnen haben. Dieses Ergebnis kann auch als ein Hilferuf von Informationsecurity Managern und Datenschutzverantwortlichen gesehen werden. Oder überspitzt formuliert: Unternehmen wissen sehr genau um Ihre Versäumnisse und nun nagt vielleicht sogar das schlechte Gewissen. Denn: bei der Umsetzung gibt jedes zweite Unternehmen an, mit der eigenen Performance in diesem Bereich unzufrieden zu sein. Dabei stechen teilweise sogar KRITIS-Unternehmen - also Unternehmen mit einer wichtigen Funktion für die Gesellschaft und das Gemeinwesen - hervor, denn diese sind mit einer besonders hohen Verantwortung in Sachen Informationssicherheit konfrontiert und haben teilweise massiven Handlungsbedarf.

Apropos Handlungsbedarf: Der positive Aspekt ist, das fast alle Unternehmen erkannt haben, dass sie ohne Tool-basierende Unterstützung nicht mehr mit den heutigen Anforderungen in den Bereichen Datenschutz und Informationssicherheit zurechtkommen. 9 von 10 Unternehmen werden daher bereits in den nächsten Jahren eine Datenschutz- bzw. Informationssicherheits-Managementsoftware bei sich im Einsatz haben. Die Nutzerfreundlichkeit und anfallende Kosten sind in der Auswahl derartiger Software dabei die Hauptkriterien.

Daten- und Informationssicherheit stehen also bei der Mehrheit der Unternehmen wenig überraschend an oberster Stelle. Allerdings klaffen Theorie und Praxis leider immer wieder deutlich auseinander.

Auch wenn die Zahl der Unternehmen, die diesen Themen keinerlei Relevanz zusprechen, erfreulicherweise gering ist: In Zeiten von täglichen Angriffen auf IT-Infrastrukturen und Data Breaches ist eine geringe Professionalisierung kaum verantwortbar.

Der 2021 von IBM veröffentlichte Bericht „Cost of a Data Breach“ zeigte auf beeindruckende Weise, dass sich die durchschnittlichen Kosten für Datenschutzverstöße auf einem Allzeithoch befinden[1].

Unternehmen sollten sich also alleine schon aus rein wirtschaftlichen Gesichtspunkten über eine Professionalisierung ihrer Datenschutz- und Informationssicherheits-Managementsysteme für eine zeitnahe und effiziente Umsetzung Gedanken machen. Aber auch im Sinne der gesellschaftlichen Verantwortung und um Anforderungen innerhalb Lieferketten zu entsprechen müssen Unternehmen schnellstens handeln. Denn neben diverser Schäden durch nicht verfügbare IT-Systeme oder geleakte Kundendaten ist es oftmals der Image-Schaden, der zu einem nachhaltigen und nicht zu unterschätzenden Wettbewerbsnachteil werden kann.