Kaum ein Tag vergeht, an dem nicht wieder ein Datenskandal die Medienrunde macht. Diese Vorfälle bedeuten nicht selten Millionenverluste, Reputationsschäden und rechtliche Konsequenzen für die betroffenen Unternehmen. Die Häufigkeit gestohlener oder vergessener Daten zeigt vor allem eins: Viele Unternehmen verfügen nicht über eine ausreichende Strategie im Umgang mit der eigenen Informationssicherheit. Nach Schätzungen der Wirtschaftsprüfungsgesellschaft KPMG International ist der überwiegende Teil der weltweiten Vorfälle auf Organisations- und Überwachungsversagen zurückzuführen.

Die Achillesferse vieler Unternehmen

Vor allem Vorstände und Aufsichtsräte sollten nach Ansicht von Experten eine Vorreiterrolle im Risiko-Management spielen. Sie müssen für eine klare Strategie im Unternehmen einstehen - und das im eigenen Interesse. Die persönliche Verantwortung und das individuelle Haftungsrisiko von Vorständen, Geschäftsführern und Aufsichtsräten im Risiko-Management haben enorm zugenommen. Der Grund dafür ist eine Verschärfung der Gesetze, zum Beispiel des Bilanzrechtsmodernisierungsgesetzes (BilMoG).

Die Verantwortung des Managements im Zusammenhang mit dem BilMoG erklärt sich unter anderem durch die regelmäßigen Überwachungspflicht. Das ist die Achillesferse vieler Organisationen, wenn es um die Prozesskontrolle beim Thema Informationssicherheit geht.

Frühwarnsystem für mögliche Risiken

Aber es reicht nicht aus, Sicherheitsstrukturen im Auftrag der Geschäftsführung nur in der eigenen Organisation einzuführen. Die Strukturen und zugehörigen Prozesse müssen Teil der Gesamtorganisation werden und im täglichen Business bestehen. Es kommt auf die ständige Überwachung der Unternehmensprozesse und die tagtäglich nachgewiesene Wirksamkeit der Strukturen im Informationssicherheits-Management an.

Deshalb raten Experten, die Wirksamkeit von Risiko-Management-Systemen regelmäßig von zentralen Instanzen wie der Unternehmensrevision prüfen zu lassen. Vorstände und Aufsichtsrat müssen über Ergebnisse und Fortschritte ständig informiert werden.

Auch ein bereits bestehendes Risiko-Management-System ist kontinuierlich an neue Gegebenheiten anzupassen und als eine Art Frühwarnsystem für mögliche Risiken zu etablieren werden. Der Vorteil eines solchen Systems liegt auf der Hand: Risiken werden nicht nur zeitnah erkannt, sondern vor allem bewertet und in zielgerichtete Maßnahmen gegen geschäftsschädigende Einflüsse umgemünzt. Im optimalen Fall hilft ein durchdachtes und systematisches Risiko-Management-System, die operativen und strategischen Ziele einer Organisation zu schützen.

Teil der Unternehmenskultur

Ein wichtiger Aspekt des Risiko-Managements ist der verantwortungsvolle Umgang mit den Unternehmensinformationen seitens aller Mitarbeiter. Dazu muss das Bewusstsein für Sicherheitsfragen in der Belegschaft geschärft und als Kernaufgabe in der gesamten Organisation begriffen werden.

Eine durchgängige Sicherheitsstrategie ist eine, die unternehmensintern gelebt wird. Das schließt die Notwendigkeit eines Kulturwandels ein. Risiko-Management ist als integralen Bestandteil der Unternehmenskultur zu verstehen. Dementsprechend sollte Informationssicherheit im Prinzip als Querschnittthema anerkannt sein, das alle organisatorischen und technischen Bereiche eines Unternehmens berücksichtigt.

Mittleres Management in der Pflicht

Der Erfolg eines Unternehmens hängt stark von der Qualität der strategischen Planung und der zugehörigen Prozesse ab - auch im Risiko-Management. Darüber hinaus geht ohne einen gewissen Eigenantrieb der Mitarbeiter gar nichts. Der Schutz von Informationen muss in allen Organisationsbereichen greifen und als Teil der Unternehmenskultur verstanden werden. Das Aufgabenspektrum reicht also von der Initialzündung durch die Geschäftsführung bis zur Umsetzung und Überwachung in der gesamten Organisation. Voraussetzung hierfür sind Anreizsysteme und die bereits erwähnte Unternehmenskultur.

Weiter gehören hierzu klare Spiel- und Verhaltensregeln, an die sich die Mitarbeiter halten müssen. In diesem Zusammenhang spielt vor allem das mittlere Management eine wichtige Rolle. An ihm liegt es, ob die Risiko-Management-Kultur auch umgesetzt wird. Diese Management-Ebene ist zwar nicht in der Position, strategische Ziele des Unternehmens zu gestalten und zu beschließen. Aber sie ist mitverantwortlich für den Erfolg des Projekts, da sie maßgeblich die Prozessqualität beeinflusst.