PwC und Iron Mountain haben im letzten Jahr den Informationsrisiko-Index vorgestellt. Für Unternehmen werden inzwischen zahlreiche Indizes ermittelt. Das Spektrum reicht von harten Indizes wie der Rentabilität, der Performance im Verhältnis zu Börsen-Indizes wie dem DAX über den Wert der Marke, siehe etwa das Ranking “BrandZ Top 100″ [1], bis zu eher weichen Indikatoren zur Corporate Social Responsibility, etwa dem internationalen CSR-Ranking [2]. Das Thema Informationssicherheit sollte jedoch mit dem Markenwert und dem CSR-Ranking in einem Atemzug genannt werden. Denn Unternehmen, die Informationsrisiken vorbeugen, genießen höheres Vertrauen und Reputation bei ihren Geschäftspartnern und Kunden. Sie schneiden bei den Ratings der Banken besser ab und erhalten nicht zuletzt dadurch einen erheblichen Wettbewerbsvorteil. Auch der europäische Gesetzgeber will der Informationssicherheit einen höheren Stellenwert geben. Der derzeit diskutierte Vorschlag zur EU-Datenschutz verordnung würde für Unternehmen eine Geldstrafe von bis zu zwei Prozent des Jahresumsatzes bei Datenschutzverstößen [3] vorsehen.
Informationssicherheit vs. Datenschutz
Der Informationsrisiko-Index bewertet die Informationssicherheit, gelegentlich auch Datensicherheit genannt. Diese liegt dann vor, wenn in einem Unternehmen alle technischen oder organisatorischen Maßnahmen ergriffen werden, um Informationen oder Daten zuverlässig vor Verfälschung, Zerstörung oder unzulässiger Weitergabe zu schützen und somit Risiken nachhaltig zu minimieren [4]. Das geschieht zum Beispiel durch revisionssicheres Aktenmanagement, Vorschriften und Prozesse zur Datensicherung bei Computersystemen, Vorkehrungen gegen Industriespionage oder bei IT-Systemen gegen Malware und Cyberangriffe sowie nicht zuletzt Mitarbeiterschulungen. Damit grenzt sich Informationssicherheit vom Begriff des Datenschutzes ab, bei dem es vorwiegend um den Schutz der Bürger vor Missbrauch ihrer persönlichen Daten geht.
Informationsrisiko-Index von PwC und Iron Mountain
Das Wirtschaftsprüfungsunternehmen PwC, mit seiner langjährigen Erfahrung bei der Bewertung von Unternehmensrisiken, und Iron Mountain, Spezialist für Informationsmanagement, haben den ersten europäischen Informationsrisiko-Index geschaffen. Dieser Index misst den Grad der Reife, nach dem Unternehmen in der Praxis Strategien zur Herstellung von Informationssicherheit umgesetzt haben. Der Reifegrad basiert auf 34 Maßnahmen, die dazu beitragen sollen, die digitalen und papierbasierten Informationen eines Unternehmens zu schützen. Im Rahmen der ersten Studie 2012 befragte PwC 600 mittelständische Unternehmen in sechs europäischen Ländern. Das Ergebnis war jedoch ernüchternd: Europas mittelständische Unternehmen erreichten im Durchschnitt nur 40,6 von 100 Punkten. Je höher der Wert, desto besser die Risikovorsorge beziehungsweise das Risikobewusstsein im Unternehmen. Der Maximalwert beträgt 100. Unter den befragten Ländern gehörte Deutschland mit 39,7 Punkten nur zum Mittelfeld [5].
Nun geht der Informationsrisiko-Index ins zweite Jahr. Wir sind gespannt, ob sich etwas getan hat bei der Informationssicherheit der deutschen Unternehmen.