11. November 2013 - Risikokommunikation

Warum viele Sicherheitsrisiken verschwiegen werden

Sicherheitsrisiken werden zwar oftmals erkannt, dann aber nicht der Geschäftsleitung mitgeteilt. Eine Priorisierung der Sicherheitsmaßnahmen oder neue Abwehrmaßnahmen bleiben aus. Machen Sie bei der Kommunikation der Datenrisiken nicht die gleichen Fehler.

warum-viele-sicherheitsrisiken-verschwiegen-werden.jpeg
Sicherheitsrisiko: Mangelnde Kommunikation blockiert einen umfassenden Datenschutz. (Bild: Thinkstock)

Hat das keiner gewusst?

Manchmal ist es schon erstaunlich. Da setzt ein Unternehmen seit Jahren ein Content-Management-System (CMS) ein, das Sicherheitslücken aufweist und für das keine Fehlerbehebungen mehr angeboten werden. Es kommt, wie es kommen muss: Die Schwachstellen werden ausgenutzt und Passwörter der Nutzer gestohlen. Im Nachgang wird die Ursache festgestellt sowie auch vom Management entdeckt, dass die entsprechende Sicherheitslücke eigentlich ein seit langem bekanntes Risiko ist. Wie konnte das passieren? Waren die Administratoren nicht gut informiert?

Bekannt ja, kommuniziert nein

Vielfach sind die IT-Sicherheitsverantwortlichen durchaus im Bilde, doch die Geschäftsleitung wird nicht informiert. Dadurch aber kann weder Budget für neue Sicherheitsmaßnahmen freigegeben noch den Risiken durch Priorisierung bestehender Abwehrmaßnahmen begegnet werden. Die Gründe für die fehlende Risikokommunikation sind vielschichtig, wie eine aktuelle Ponemon-Studie zeigt:

  • 64 Prozent der Befragten kommunizieren die Sicherheitsrisiken nicht an ihr Management oder nur dann, wenn ein schwerwiegendes Risiko auftritt.
  • 47 Prozent beklagen eine schlechte Zusammenarbeit zwischen IT-Sicherheit und Geschäftsleitung.
  • 51 Prozent gaben zu, dass ihre Risikokommunikation nicht effektiv ist.
  • 68 Prozent sagten, die Kommunikation sei zu abgekapselt.
  • 61 Prozent führen die Kommunikation auf einer zu niedrigen Unternehmensebene.
  • Ebenfalls 61 Prozent denken, die Risikokommunikation sei zu technisch.
  • Ganze 59 Prozent räumten ein, dass sie die Risikokommunikation filtern und negative Faktoren dem Management gegenüber verheimlichen.

Achtung: Fehler im System

Keine Frage: Die genannte Studie zeigt, dass die Kommunikation von Sicherheitsrisiken nicht rund läuft. Ob nun der Empfänger der Risikoinformation der falsche ist, ob die kommunizierten Risiken unverständlich übermittelt werden oder ob sogar Risiken komplett verheimlicht werden, in jedem Fall fehlen dem Management die richtigen Entscheidungsgrundlagen. So kann es zum Beispiel dazu kommen, dass ein unsicheres CMS jahrelang genutzt wird, bis es dann zur Datenpanne kommt. So etwas sollte Ihnen als DSB in der Kommunikation der Datenrisiken nicht passieren.

Kommunikation der Datenrisiken prüfen

Sehen Sie sich an, wer Datenrisiken ermittelt, wie die Beschreibung aufbereitet wird, wie vollständig und zeitnah die Kommunikation der Datenrisiken erfolgt, ob der Empfängerkreis stimmt und ob das Management wirklich eine klare Sicht auf alle erkannten Datenrisiken bekommt:

Werden alle Quellen für Risikoinformationen genutzt? Werden die technischen Datenrisiken verständlich übersetzt? Werden keine Risiken zurückgehalten oder gar verschwiegen? Erhalten alle erforderlichen Entscheider zeitnah die richtigen Informationen zu den Datenrisiken? Stimmt die „Chemie“ zwischen den Sicherheitsverantwortlichen und der Geschäftsleitung oder haben Sie den Eindruck, dass die Kommunikation gestört ist?

Nutzen Sie am besten die neue Checkliste Kommunikation der Datenrisiken. Nur wenn die Risikokommunikation stimmt, können Sie auch die richtige Unterstützung der Geschäftsleitung erwarten, das notwendige Budget und die passenden Maßnahmen in der Datensicherheit.


Download:


Oliver Schonschek
Oliver Schonschek, Diplom-Physiker, ist IT-Fachjournalist und IT-Analyst.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln