Web

 

Top-Management fehlt Bewusstsein für Sicherheitsfragen

25.05.2001

MÜNCHEN (COMPUTERWOCHE) - In den Chefetagen vieler Unternehmen werden die Themen IT-Sicherheit und Datenschutz noch immer nicht als wichtige Kernaufgabe der eigenen Organisation erkannt. Zu diesem Ergebnis kamen die Teilnehmer einer Diskussionsrunde auf der Computerworld-Tagung "Premier 100 IT Leaders Conference" im kalifornischen Rancho Mirage am vergangenen Montag.

"Das Management muss aus seinem Dornröschenschlaf geweckt werden", forderte Diskussionsleiter Alan Paller, Direktor des System Administration, Networking and Security Institute (SANS) in Maryland. Die obersten Führungskräfte sollten sich stärker als bisher darauf konzentrieren, dass ihre Unternehmen alle geeigneten Maßnahmen treffen, um die Sicherheit ihrer IT-Systeme und Datenbestände zu gewährleisten. Andernfalls drohten nicht nur finanzielle Einbußen oder gar rechtliche Konsequenzen, auch der Aufbau von vertrauenswürdigen Beziehungen zu Kunden, Partnern und Lieferanten sei dann unmöglich.

Pallers Aussage über das mangelnde Sicherheitsbewusstsein des Managements stieß bei den Forumsteilnehmern auf breite Zustimmung: Im Rahmen einer Umfrage gaben 56 Prozent der Anwesenden an, die oberste Führungsebene in ihren Unternehmen habe "keine Ahnung" von der Beziehung zwischen Fragen der IT-Sicherheit und den Sicherheitsbelangen des Unternehmens. Nur 18 Prozent bescheinigten ihren Vorgesetzten in diesem Zusammenhang gute Noten.

Für Eddie Schwarz, Vice-President des US-Sicherheitssoftware-Herstellers Guardent, sind die Themen IT-Sicherheit und Datenschutz untrennbar miteinander verbunden. Unternehmen sollten sich dabei jedoch nicht nur von gesetzlichen Bestimmungen leiten lassen, sondern ihre Sicherheitspolitik darüber hinaus eigenverantwortlich regeln und nach außen kommunizieren. Gerade im Zusammenhang mit Anwendungen, die sich sehr stark mit der Sammlung und Auswertung persönlicher Daten befassen, beispielsweise Customer-Relationship-Management (CRM), sollten von Beginn an strenge Sicherheitsrichtlinien formuliert werden. Im Rahmen der Selbstregulierung sei eine umfassende Kontrolle der Datenerhebung und -auswertung denkbar. Auch die Kunden selbst sollten Einsicht in die über sie gesammelten Daten bekommen und gegebenenfalls falsche Informationen verbessern können, so Schwartz.