•  

Persönliche Daten wichtiger als Unternehmensdaten

Führungskräfte bewerten persönliche Daten höher als Unternehmensdaten + NTT Com Security Risk:Value-Report identifiziert vier Gruppen von Befragten im Hinblick auf die Wertschätzung von Unternehmensdaten und Investitionen in die Sicherheit

Der neue Risk:Value-Report des globalen Informationssicherheits- und Risikomanagement-Unternehmens NTT Com Security unterscheidet vier Gruppen von Befragten, wenn es um die Wertschätzung und Absicherung von Unternehmensdaten geht: die „Versierten“, die „Informierten“, die „Passiven“ und die „Arglosen“. Die Studie basiert auf einer Umfrage unter 800 Führungskräften (nicht in einer IT-Funktion) in acht Ländern, darunter 100 aus Deutschland. Sie untersucht unter anderem den Wert, den Führungskräfte der Daten- und Informationssicherheit in großen Unternehmen beimessen sowie die Investitionsbereitschaft in Datensicherheit.

Die Studie zeigt auf, wie wichtig verschiedene Datentypen für das befragte Unternehmen sind und ob Führungskräfte wissen, wie hoch der Anteil des in Datensicherheit investierten Budgets ist. Zwar sind sich 82 Prozent der Befragten der Bedeutung ihrer Daten bewusst, jedoch gibt es große Unterschiede in Bezug auf die Kenntnis über diese Daten und  die Investitionsbereitschaft in IT Security.

Die Gruppe der Arglosen hält Daten für ihr Unternehmen für unwichtig und bewertet persönliche Daten mit 33 Prozent höher als Unternehmensdaten mit 18 Prozent. Befragte der proaktivsten Gruppe, der „Versierten“, arbeiten dagegen in Unternehmen, die ihre Informationen schützen und Unternehmensdaten höher bewerten als persönliche Informationen: Ein Drittel (33%) bewertet hierbei Unternehmensdaten höher als persönliche Daten und nur 16 Prozent halten persönliche Daten für wichtiger.

Die Studie Risk:Value - Do Senior Executives understand their role in data security? zeigt, dass:

  • Versierte Unternehmen bereit sind, mindestens zehn Prozent des IT-Budgets in den Schutz ihrer Daten zu investieren und somit am ehesten alle kritischen Daten zu sichern (62%).
  • Informierte Entscheidungsträger mit größerer Wahrscheinlichkeit Datenrichtlinien implementieren, wobei 29 Prozent berichten, dass sie gerade dabei sind eine formale Datenschutzrichtlinie einzuführen, und mehr als ein Viertel (26%) derzeit Disaster-Recovery-Pläne implementiert.
  • Passive Befragte sich der Wichtigkeit von Daten bewusst sind, diese  jedoch nicht schützen. Sie geben höchstwahrscheinlich zu, nicht zu wissen, wie viel ihres IT-Budgets für Datensicherheit ausgegeben wird, während fast niemand (99%) weiß, wie schwer die finanziellen Folgen eines Datensicherheitsvorfalls wären.
  • Die Gruppe der Arglosen weiß typischerweise nicht, wie viel des Budgets für die Datensicherung ausgegeben wird oder gibt zu, dass nur ein kleiner Anteil dafür verwendet wird. Bei dieser Gruppe handelt es sich zudem um diejenigen, bei der die Wahrscheinlichkeit, dass es einen Recovery-Plan zur Abwehr eines Angriffs auf die Datensicherheit gibt, am geringsten ist (lediglich 24%).

Simon Church, CEO, NTT Com Security, kommentiert: „Diese Staffelung der Unternehmen liefert einen guten Hinweis im Hinblick auf die Frage, welcher Wert den Daten eines Unternehmens zuerkannt wird. Aufschlussreich ist die Art und Weise, wie Führungskräfte Daten einschätzen und wie viel sie über deren Schutz eigentlich wissen. Was jedoch Anlass zur Sorge gibt, ist die Tatsache, dass die versierten Befragten, die zur stärksten der vier Gruppen gehören, bislang nur 35 Prozent der Führungskräfte ausmachen und damit immer noch eine Minderheit darstellen. Besorgniserregend ist ebenfalls, dass die schwächeren Gruppen der Passiven und Arglosen, die entweder nicht in der Lage oder nicht bereit sind, ihre Daten ausreichend zu schützen, zusammen 31 Prozent ausmachen.“

Church glaubt, dass die Unternehmen enger und konsequenter mit der Informationssicherheitsbranche zusammenarbeiten müssen, um dieser Arglosigkeit entgegenzutreten: „Es ist klar, dass sich die Organisationskultur ändern muss. Zu denken, dass wir als Branche einen guten Job machen und allein durch die Schlagzeilen das Bewusstsein für Sicherheitsbedrohungen schärfen, ist zwar einfach, aber es ist klar, dass dies nicht mehr ausreicht, um Organisationen zum Handeln zu zwingen. Wir müssen die Tatsache, dass Sicherheit jedermanns Problem und jedermanns Verantwortung ist, stärker betonen und Unternehmen auf der Risk:Value-Skala von arglos zu versiert bewegen.“

Gruppen und Schlüsselmerkmale:

Die prozentuale Aufschlüsselung der vier Personengruppen - auf Basis der 800 weltweit in Australien, Frankreich, Deutschland, Hongkong, Norwegen, Schweden, GB und USA Befragten- liefert folgende Werte:

• Versiert = 35 Prozent
• Informiert = 34 Prozent
• Passiv = 13 Prozent
• Arglos = 18 Prozent

Die Versierten – Versierte Befragte verstehen den Wert, den Daten für ihre Unternehmen haben. Sie betrachten mindestens fünf, wenn nicht alle sechs Datentypen - Endverbraucher, Geschäftskunde, Angestellter, betriebliche Leistung, geistiges Eigentum und F&E - als wichtig für den Erfolg ihres Unternehmens. Zudem arbeiten sie in Unternehmen, die mindestens zehn Prozent ihres IT-Budgets für Datenschutz ausgeben. Dies zeigt, dass sie einsehen, dass Datensicherheit ein wichtiger Aspekt ihres Unternehmens ist.

Die Informierten – Informierte Befragte verstehen ebenfalls den Wert, den Daten für ihre Unternehmen haben. Wie die Versierten stufen sie mindestens fünf, wenn nicht alle sechs Datentypen als wichtig für den Erfolg ihres Unternehmens ein. Allerdings verwenden die Unternehmen, in denen die Informierten arbeiten, nicht mehr als zehn Prozent ihres IT-Budgets auf Datensicherheit. Daraus lässt sich schließen, dass diese Führungskräfte den Wert der Daten zwar verstehen, aber ihre Unternehmen nicht bereit sind, wesentliche Ressourcen zur Unterstützung des Datenschutzes einzusetzen.

Die Passiven – Vergleichbar mit den ersten Personengruppen verstehen die Passiven den Wert, den Daten für ihre Unternehmen haben. Der Anteil des IT-Budgets, den ihr Unternehmen für Datenschutz ausgibt, ist ihnen jedoch nicht bekannt. Diese Gruppe weiß somit nicht im Detail, für wie wichtig Daten in ihren Unternehmen gehalten werden.

Die Arglosen – Im Gegensatz zu den anderen drei Gruppen wissen diese Befragten die Bedeutung, die die Daten für ihre Unternehmen haben, nicht zu schätzen. Außerdem ist ihnen der Betrag des IT-Budgets, den ihre Unternehmen für Datenschutz aufwenden, für gewöhnlich nicht bekannt. Jedoch besteht die Möglichkeit, dass sie wissen, dass ihre Unternehmen nur einen kleinen Betrag des IT-Budgets investieren.

Risk:Value Report: Do senior executives understand their role in data security?

Autor: Kolaric

Diesen Artikel empfehlen