Unlängst haben die Marktforscher und Berater von Arthur Andersen und Analysten der Economist Intelligence Unit aus der Firmengruppe, in der auch das Wirtschaftsblatt "The Economist" erscheint, eine Umfrage zum potentiellen Risiko der DV veranstaltet. Dabei gaben über 200 Topmanager von multinationalen Konzernen aus Nordamerika, Europa und Asien Auskunft. Jede dieser Firmen macht mehr als eine Milliarde Dollar Umsatz pro Jahr.
Die der Öffentlichkeit zugänglichen Daten der Erhebung zeigen ein eklatantes Mißverhältnis zwischen der Bedeutung der DV für den Unternehmenserfolg und ihrer Absicherung beziehungsweise zu der ihr zugemessenen Position. 84 Prozent der Topmanager erklären, die Informationstechnik sei "critical", also ein unverzichtbarer Faktor ihres Geschäfts. Gleichwohl sind nur 13 Prozent der Ansicht, in ihren Firmen sei die IT in die übergreifende Strategie des Unternehmens eingebunden.
Dabei stimmen die Verantwortlichen darin überein, daß IuK-Techniken noch wichtiger werden. Der Wertung, IT wirke sich stark auf zentrale Geschäftstätigkeiten aus, stimmen 57 Prozent der Befragten für den heutigen Zeitpunkt zu. Das werde in drei bis fünf Jahren der Fall sein, ist Ansicht fast aller Topmanager, nämlich 93 Prozent.
Fast 40 Prozent der Befragten erklären, in ihren Organisationen gebe es keine nennenswerten Prozesse für das Risiko-Management. Doch auch jene, die besser vorgesorgt haben, sind nicht zuversichtlich: Die Hälfte von ihnen ist der Überzeugung, daß ihre Verfahren für die möglichen Herausforderungen auf weltweiten Märkten nicht ausreichten. Noch schlechter steht es um die DV: Zwei Drittel aller Antwortenden bekennen, mit der IT einhergehende Risiken würden in ihren Unternehmen nicht richtig verstanden.
"Fast jeder erkennt die Notwendigkeit, IT-Strategien mit den jeweiligen Geschäftsstrategien in Einklang zu bringen", berichtet Andersen-Analyst Russel Gates aus eingehenderen Interviews. "Aber einige merken nicht, daß langfristig die IT nur dann etwas bringen kann, wenn eine Organisation die Geschäftsrisiken, die von der Nutzung der Informationstechnik ausgehen, vorwegnehmend managen kann."
Paula Sinclair von der Economist Intelligence Unit fügt hinzu: "Wir bemerkten in unseren Interviews, daß die Sprünge von Firmen von einer Technologiewelle auf die nächste oftmals auf Entscheidungen beruhten, die diese Unternehmen unterhalb der Management-Ebene delegiert hatten." Das Ergebnis ist eine fatal niedrig angesiedelte Verantwortung für Beschlüsse, die erklärtermaßen von außerordentlicher Bedeutung für die Firmen sind.
"51 Prozent der Firmen bekannten, daß technische Profis das Management IT-bezogener Risiken verantworten." Sinclair meint, das könne ja normalerweise noch angehen, aber eine Firma, die ihren Erfolg nicht aufs Spiel setzen wolle, müsse von oben mehr Engagement zeigen: "IT-Risiken muß man im Kontext eines Gesamt-Managements der Geschäftsrisiken begreifen, nicht als eine separate Aktivität unter Leitung von IT-Experten."
Die können sich nämlich auch durchaus vergaloppieren. So berichtet Andersen-Direktor Nick Temple von einer Softwarefirma, die - ganz kundenfreundlich - per Bulletin Board Einblick in Entwicklungsarbeiten und -vorhaben bot. So gut, daß die Konkurrenz stets bestens informiert war. Ebenso gelang es einer Zeitung, eine dermaßen schnelle und informative Web-Page aufzubauen, daß das Konkurrenzblatt die bessere Printausgabe drucken konnte. In einer anderen Firma galten Systemgrenzen für den Transaktionsdurchsatz als ein Speicherproblem, nicht als verlorene Buchungen.
Aufschlußreich ist auch, wie die Antwortenden in der Umfrage spezielle Risiken bewerten. Es führt mit drei Viertel der Nennungen die Integrität. Darunter ist die Sorge zu verstehen, Daten könnten nicht vollständig, nicht akkurat oder nicht autorisiert sein. 70 Prozent nennen die möglicherweise fehlende Verfügbarkeit der Systeme ein Risiko, also die Gefahr, im entscheidenden Moment nicht an die notwendigen Daten zu kommen. Und 61 Prozent befürchten Irrelevanz, die Informationen könnten nutzlos oder veraltet sein.
Die Analysten fassen ihre Befunde in fünf "Statements" zusammen. Hier in der von ihnen gesetzten Reichenfolge: Die Unternehmen verlieren erstens das Vertrauen in ihre jetzige Herangehensweise an Risiko-Management. Die größten IT-Sorgen der Topmanager gelten zweitens der Integrität, der Verfügbarkeit und der Relevanz von Systemen beziehungsweise Informationen.
Drittens ist erfolgreiches Management der IT-Risiken davon bestimmt, wie gut die IT-Strategie in eine übergreifende Geschäftsstrategie integriert ist. Die meisten Unternehmen haben viertens keinen formalen Prozeß beschlossen, um die Ursachen von IT-Risiken zu identifizieren. Und fünftens sind das Internet sowie verteiltes Computing für viele Unternehmen der Anlaß, ihre Prozesse für das Risiko-Management in puncto Sicherheit und Management der Informationen neu zu bewerten.
Die Unternehmen kämen anscheinend "zurück auf den Teppich", versucht Andersen-Consulter Gates, den Befunden einen positiven Gesamteindruck abzugewinnen. "In der Vergangenheit hat die Mehrheit der Leute, die über Risiken aus einer technologischen Perspektive gesprochen haben, über nichts anderes als Technologie-bezogene Risiken geredet. Ein Stück vom Kuchen fehlt, ein großes: in der Lage zu sein, diese Risiken in Wirkungen auf das Geschäft zu übersetzen..
Angeklickt
"Fast jeder erkennt die Notwendigkeit, IT-Strategien mit den Geschäftsstrategien in Einklang zu bringen", sagt der Andersen-Analyst Russel Gates - und muß berichten, daß Erkenntnis auch bei Topmanagern noch lange nicht Taten folgen läßt: Überlegungen für Krisensituationen sind auch bei internationalen Unternehmen nicht weit gediehen, und für den Bereich Informations- und Kommunikationstechnik ist es um die Vorsorge noch deutlich schlechter bestellt.
Zehn Sicherheitsmythen
1. Sicherheit bedeutet, mein Eigentum zu schützen.
Erst Sicherheit ist die Grundlage, auf der bestimmte Geschäfte möglich sind, zum Beispiel E-Commerce.
2. Unser Management interessiert sich nicht für Sicherheit; sie ist nicht Teil unserer Strategie.
Wirksamer Schutz hat angesichts möglicher Schäden grundsätzlich hohe Bedeutung.
3. Technologie wird das Sicherheitsproblem lösen.
Technologie ist allenfalls ein Teil einer umfassenden Lösung für Informationssicherheit. Schon die Erarbeitung eines Sicherheitsprogramms gibt Management-Zielen und -Strategien ein sichereres Fundament.
4. Unsere Informationen möchte ohnehin keiner haben.
Den Wert einer Information werden nicht alle gleich einschätzen. Schon der bloße Einbruch in ein Informationssystem kann Schäden verursachen.
5. Der Feind kommt von draußen.
Jeder Spezialist erklärt, daß Mitarbeiter eines Unternehmens den größten Schaden anrichten. Zunehmender Datenaustausch zwischen Firmen macht es unwichtig, wer formal "drinnen" oder "draußen" ist.
6. Firewalls bringen genug Sicherheit.
Die Installation von Firewalls wiegt viele in Sicherheit; in Wirklichkeit müssen diese Systeme ständig überprüft und angepaßt werden.
7. Mein PC ist sicher, also bin ich es auch.
Paßwörter schützen vor manuellem Zugriff, nicht vor der Einbringung unliebsamer oder dem Abzug wertvoller Dateien.
8. Im Internet ist sichere Kommunikation ohnehin nicht möglich.
Es gibt verläßliche Technologien für vertrauenswürdige Datenkommunikation im - per definitionem offenen - Internet. Und es gibt Unternehmen, die damit arbeiten.
9. Die eingebauten Sicherheitsmaßnahmen unserer DV-Systeme und Applikationen reichen für unsere Bedürfnisse aus.
Sicherheit war nicht das Hauptaugenmerk der Hersteller, die diese Merkmale in ihre Produkte eingebaut haben. Diese Sperren sind in Wirklichkeit sehr einfach zu überwinden.
10. Unsere Mitarbeiter werden mehr Sicherheit nicht tolerieren.
Man kann auch mehr Sicherheit mit weniger Aufwand als bisher für die Mitarbeiter erreichen. Zum Beispiel werden sie es gerne sehen, sich nicht mehr elf Paßwörter für elf Anwendungen merken zu müssen (was kaum einer kann), sondern eins für alle.
Bonus-Mythos!
11. Hier hat es noch nie Sicherheitsprobleme gegeben.
Sie haben es bloß noch nicht bemerkt.
Quelle: Economist Intelligence Unit