5. Alle in einem Boot

Viele Sicherheitsverantwortliche sind der Meinung, dass allein ihre berufliche Zukunft von einem Vorfall bedroht ist. Daher versuchen sie, Details zum Vorfall so lange wie möglich vor dem Top-Management zu verbergen. Teilweise müssen aber auch Geschäftsführer und Vorstände für einen Schaden geradestehen, weshalb sie darauf angewiesen sind, dass sie von den Vorgängen unterrichtet werden. "Während die Öffentlichkeit angesichts der steigenden Zahl der gemeldeten Datenverluste desensibilisiert wird, steigt im Gegenzug die Aufmerksamkeit der CIOs", berichtet Sicherheitsberater Bowers, der zuvor als Manager für IT-Security beim Pharmakonzern Wyeth Pharmaceuticals gearbeitet hat. Auch aus diesem Grund würden die Ausgaben für IT-Sic mehr Unternehmen wollen die Vorgaben zur Datensicherheit einhalten, denn ein Verstoß dagegen kann sich negativ auf den Aktienkurs auswirken – und damit auf die Boni des Top-Managements."

6. Aufrichtigkeit

Ein weiterer Schritt, um die Glaubwürdigkeit eines Unternehmens wiederherzustellen, ist die Benachrichtigung der betroffenen beziehungsweise interessierten Kreise. Dabei gilt es, den Vorfall aufrichtig zu beschreiben, ohne allzu viele Details preiszugeben. Wenn es keinen Anhaltspunkt dafür gibt, dass die verlorenen Daten missbräuchlich verwendet wurden, sollte auch dies kommuniziert werden. Sollte ein Unternehmen indes gezwungen sein, die Informationen der ersten Meldung im Nachhinein zu korrigieren, führt dies zur augenblicklichen Erosion der Glaubwürdigkeit. Ein Beispiel ist der US-Einzelhändler TJX: Hier waren über einen Zeitraum von 18 Monaten knapp 46 Millionen Nummern von Kredit- und Debitkarten abhanden gekommen. Aufgrund einer restriktiven Informationspolitik und der traditionellen "Salamitaktik" forschten US-Medien nach Details, was zu einem stattlichen Medien-Hype sowie zu einer Beschädigung des Rufs von TJX geführt hat. Die vermutlich endgültige Zahl der betroffenen Personen wurde von dem Einzelhändler schließlich in der Jahresbilanz veröffentlicht, um möglichst wenig Aufsehen zu erregen. Die Rechnung ging allerdings nicht auf. Anfang Juni war die Untersuchung noch in vollem Gange. Allein im ersten Quartal des Jahres summierten sich die Kosten für Sicherheits- und Kommunikationsmaßnahmen auf 20 Millionen Dollar. (ajf)