Denkanstoß | Informationsrisiko & Information Governance

Autor – Hans-Günter Börgmann, Geschäftsführer von Iron Mountain Deutschland

Was können Unternehmen heutzutage tun, damit digitale und auf Papier befindliche Informationen in einem Unternehmen professionell verwaltet und genutzt werden? Zur Beantwortung dieser Frage werden in Unternehmen Information Governance-Strategien entwickelt und umgesetzt. Doch neben dem reinen „Handling“ von Informationen gehört ein weiterer Aspekt in das Umfeld dieses Themas: das Informationsrisiko, das in vielen Fällen noch nicht ausreichend berücksichtigt wird.

Informationsrisiko meint eigentlich die Risiken, die durch den möglichen Verlust oder Missbrauch der Informationen entstehen. Eine PwC-Studie beispielsweise hat ergeben, dass die durchschnittlichen Kosten für eine Datenpanne innerhalb eines Unternehmens in schweren Fällen zwischen 80.000 und 140.000 Euro pro Fall umfassten. Bei größeren Unternehmen stiegen die durchschnittlichen Kosten pro Panne auf bis zu 1,4 Millionen Euro. Über die Hälfte der kleinen bis mittelständischen Unternehmen hatten laut dieser Untersuchung eine Datenpanne erlebt [1]. So wird auch die Wichtigkeit des Themas IT-Sicherheit immer wieder prominent herausgestellt. Auch die deutsche Wirtschaft gibt immer mehr für IT-Sicherheitsmaßnahmen aus. Das geht aus dem Report „Internet-Sicherheit 2014“ hervor, den der eco-Verband der deutschen Internetwirtschaft e.V. dieses Jahr veröffentlichte. Dem Report zufolge gehen 59 Prozent der befragten IT-Experten von steigenden oder sogar stark steigenden Ausgaben für die IT-Sicherheit aus. Im Jahr 2014 wird sogar der höchste Jahreswert der seit 2010 durchgeführten Befragungen erwartet [2].
Reifeindex misst Informationsrisiko

Um die Informationsrisiken zu erkennen und zu beherrschen, ist das richtige Informationsmanagement gefragt. Doch greift die alleinige Aufrüstung der IT zu kurz. Denn um das Sicherheitsrisiko zu bewerten, ist eine umfassendere Analyse in Sachen Informationsmanagement vonnöten. Dazu kann seit drei Jahren die Reife der Unternehmen über einen speziellen Index gemessen werden. Dieser Reifeindex gibt an, inwiefern Unternehmen ein geeignetes Schutzniveau zur Verringerung von Informationsrisiken – beispielsweise Datenverluste, Cyber-Angriffe oder Industriespionage – besitzen. Außerdem wird untersucht, wie Firmen auf wichtige Trends wie Big-Data, Cloud-Storage und BYOD (Bring Your Own Device) reagieren. Bei einem Maximalwert von 100 sind Unternehmen vollständig auf Informations-Risiken vorbereitet.

Die jüngste Studie über den aktuellen Informationsrisikoindex aus diesem Jahr lässt Handlungsbedarf erkennen [3]: Befragt wurden Führungskräfte in mittelständischen Firmen und größeren Unternehmen in Europa sowie in den USA und Kanada – und deutsche Unternehmen schnitten in Europa am schlechtesten ab. Sie erreichten mit 53,6 Punkten den niedrigsten Wert auf der Risikoskala, nach dem dritten Platz im Vorjahr. Deutschland liegt damit sowohl hinter den anderen fünf EU-Staaten als auch hinter den Vereinigten Staaten (54,1 Punkte) und Kanada (55,0 Punkte).

Aktueller Reifeindex zum Informationsrisiko

Informationspotenzial bleibt ungenutzt

Der Reifeindex zum Informationsrisiko untersucht auch, inwiefern mittelständische und größere Firmen in Europa und Nordamerika ihre Informationen zu ihrem Geschäftsvorteil nutzen. Rund drei Viertel der innerhalb der Studie befragten deutschen Unternehmen (72 Prozent) betrachten Informationen als wichtigen Asset, jedoch beschäftigt im Durchschnitt nur ein Drittel (31 Prozent) Datenanalysten, um den Nutzen aus ihren Informationen zu gewinnen.

Die Befragten bestätigen aber, dass die zur Verfügung stehenden Informationen geholfen haben, Entscheidungsprozesse zu verbessern, Kunden zu verstehen und den Umsatz zu steigern. Was andere Unternehmensschwerpunkte betrifft, wie z.B. Produktentwicklung oder -optimierung sowie Personal- oder Finanzmanagement, bleibt das Potenzial jedoch weitgehend ungenutzt. Es fehlt eine durchgängige Klassifizierung der Dokumente, die das Wiederauffinden von Informationen erst möglich macht.

Datenabflussrisiko Mitarbeiter

Wenn es um die tatsächliche Sicherheit der Unternehmensdaten geht, ist die Meinung nach wie vor eindeutig: 48 Prozent der in Deutschland Befragten sehen die Verantwortung beim IT-Manager, nur 12 Prozent bei der Geschäftsführung und nur 1 Prozent bei allen Mitarbeitern. Doch dies ist ein fataler Fehlschluss. Hier verhindert der starre Blick auf die IT einen ganzheitlichen Lösungsansatz. Denn Datenverluste durch schlechte Prozesse und Mitarbeiterverschulden sind die Klassiker, die allzu oft vernachlässigt werden.

Besonders heikel wird es, wenn Mitarbeiter aus dem Unternehmen ausscheiden. Eine Studie von Iron Mountain [4] zeigt hier eindeutige Lücken. So wurden Mitarbeiter danach gefragt, wie sie beim Ausscheiden aus dem Unternehmen mit Informationen umgehen. Das Ergebnis: Zwei Drittel der Befragten gab zu, Informationen entwendet zu haben, bei deren Mitarbeit sie aktiv beteiligt gewesen seien. 72 Prozent glaubten, dass es sich hierbei um Informationen handele, die sich im neuen Job als hilfreich erweisen könnten. Besonders beliebt sind Präsentationen (46 Prozent), Unternehmensangebote (21 Prozent), Strategie-Pläne (18 Prozent) sowie Produkt- und Service-Roadmaps (18 Prozent).

Was am meisten beunruhigt: Die Hälfte (51 Prozent) hat es auf vertrauliche Kundendaten abgesehen, obwohl genau dies ihnen Datenschutzgesetze verbieten. Denn der Bundesgerichtshof hat 2009 in seinem Urteil (Az. I ZR 28/06) entschieden, dass Mitarbeiter im Sinne des Gesetzes gegen unlauteren Wettbewerb (UWG) keine Kundendaten mitnehmen dürfen. Neben zivilrechtlichen Konsequenzen wie Unterlassungsklagen oder Schadenersatzansprüchen könnten nach dem Bundesdatenschutzgesetz bei Verstößen Bußgelder und Strafverfahren verhängt werden. Der Nachweis dieser Tatbestände ist allerdings nur schwer zu erbringen.

Minimierung des Informationsrisikos

Um Daten und Informationen professionell zu verwalten, sollten Unternehmen grundsätzlich auf eine ganzheitliche Hybrid-Strategie setzen, die sowohl Papierdokumente als auch digitale Daten mit einbezieht. Denn Papier stellt immer noch eine wichtige Ressource für Firmen dar. Um allerdings innerhalb eines hybriden Verwaltungsprozesses das Aufkommen von Gedrucktem und Geschriebenem in Maßen zu halten, sollte die Abhängigkeit vom Papier schrittweise reduziert werden. Eine effektive und sinnvolle Digitalisierung kann unter anderem wie folgt vorangetrieben werden: Neue, eingehende oder wichtige Kundendokumente werden automatisch gescannt und die Daten fließen im Idealfall mithilfe einer Texterkennungs-Software in das CRM-System ein. Ältere, weniger wichtige Dokumente können dagegen indiziert und für den späteren Gebrauch archiviert werden.

Unternehmen sollten darüber hinaus Nutzerrechte für Mitarbeiter definieren, gegebenenfalls einschränken oder den Zugang zu Archiven verwehren. Hierbei sollten Arbeitgeber in ihre Richtlinien miteinbeziehen, dass Mitarbeiter das Unternehmen verlassen und hierbei Informationen abfließen können. Bei der Umsetzung ist allerdings Diplomatie erforderlich und der Schlüssel zu Erfolg liegt in einer gezielten Kommunikation und Schulung. Arbeitgeber sollten dabei zu verstehen geben, dass gewisse Informationen vertraulich sind und ein Kompromittieren – etwa durch ungewollte Veröffentlichung – ernsthafte datenschutzrechtliche Konsequenzen hat, sowohl für den Mitarbeiter als auch für das Unternehmen. Zusätzlich ist eine umfassende Klassifizierung von Informationen notwendig, um die Wichtigkeit und Schutzwürdigkeit der Daten hervorzuheben.

Fazit

Unternehmen müssen ihre Maßnahmen zur Information Governance beziehungsweise zur Minimierung des eigenen Informationsrisikos mit Geduld und Überzeugung umsetzen. Denn sowohl Geschäftsprozesse zu modifizieren als auch eine Verhaltensänderung sind langfristige Aufgaben. Hier hilft in der Praxis die Einbindung der Geschäftsleitung und Kontrolle bei der Umsetzung von Klassifizierung und Schulung.

Quellenangaben
[1] PwC Information Security Breaches Survey 2014: http://www.pwc.co.uk/audit-assurance/publications/2014-information-security-breaches-survey.jhtml
[2] http://www.eco.de/2014/pressemeldungen/safer-internet-day-ausgaben-fuer-it-sicherheit-steigen-in-2014-deutlich-an.html
[3] PwC befragte dazu leitende Angestellte in 600 europäischen und 600 nordamerikanischen Unternehmen mit 250 bis 2.500 Mitarbeitern sowie 600 Firmen auf beiden Kontinenten mit bis zu 100.000 Angestellten in folgenden Wirtschaftsbranchen: Recht, Finanzen, Pharma, Versicherungen, Energie, Fertigungsindustrie und Maschinenbau. Eine Zusammenfassung des Reports, ‚Über die guten Absichten hinaus‘, steht unter folgendem Link zum Download bereit: http://www.ironmountain.de/risikomanagement/
[4] Opinion Matters für Iron Mountain. Die Umfrage wurde zwischen 15. April 2013 und 1. Mai 2013 durchgeführt. Stichprobe: 5.021 berufstätige Erwachsene in Deutschland, Großbritannien, Frankreich, Spanien und den Niederlanden. Davon 1.002 aus Deutschland.

www.ironmountain.de

Hans-Günter Börgmann, Geschäftsführer von Iron Mountain Deutschland. Iron Mountain bietet umfassende Lösungen rund um das Management von Informationen und unterstützt Unternehmen dabei, passende Lösungen für die sichere sowie rechtmäßige Aufbewahrung und schnelle Verfügbarkeit ihrer Dokumente und Daten zu finden. Das börsennotierte Unternehmen kümmert sich um physische Dokumente als auch digitale Daten und deckt dabei den gesamten Lebenszyklus der Informationen ab.

Veranstaltung zum Thema
PROJECT CONSULT führt zum achten Mal ihre Konferenz zu Records Management in Frankfurt durch. Dieses Jahr dreht sich alles um “Ordnung schaffen & Ordnung halten”. Schwerpunkthemen sind die elektronische Akte, Records-Management-Branchenlösungen, Metadaten-Management, Information Governance, inhaltliche Erschließung, Compliance-Erfüllung, automatische Klassifikation, Verwaltung des Lebenszyklus der Information und revisionssichere Archivierung.