Der Mittelstand tut zu wenig gegen Datenmissbrauch

Beim Umgang mit Daten schützt sich der deutsche Mittelstand nicht genügend vor Missbrauch. Das geht aus dem aktuellen Risk Maturity Index hervor, den PwC zum zweiten Mal erhoben hat. Vielen Unternehmen fehlt es an einer Informationsstrategie oder sie setzen diese nicht konsequent um, erläutert PwC-Partner und Datenexperte Derk Fischer. Und viele unterschätzen die wirtschaftlichen Folgen von Datenpannen.

Im Gespräch mit PwC-Partner und Datenexperte Derk Fischer:

Derk Fischer
Derk Fischer

Das geplante IT-Sicherheitsgesetz ist erst einmal vom Tisch. Es hätte Unternehmen verpflichtet, IT-Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik zu melden. Können sich Unternehmen nun entspannt zurücklehnen?

Derk Fischer: Keineswegs. Bereits jetzt schon müssen Unternehmen aufgrund bestehender Gesetze wie das Bundesdatenschutzgesetz IT-Datenverstöße melden. Insofern existieren bereits strenge Anforderungen von Seiten des Gesetzgebers. In der Realität fehlt es in Unternehmen jedoch an Konzepten und technischen Systemen, um derartige Datenpannen überhaupt aufzudecken. Mit der zunehmenden Digitalisierung und Globalisierung hat die Menge an Daten extrem zugenommen. Das führt zu einem unübersichtlichen Daten-Dschungel. Unternehmen schätzen ihre Gefährdung und Sicherheitslage oft nicht richtig ein.

Wie gut sind Unternehmen denn gegen Datenmissbrauch gewappnet?

Fischer: In Sachen Datensicherheit sind Unternehmen im Schnitt nicht gut aufgestellt. Das zeigen die neuesten Ergebnisse des Risk Maturity Index. Dazu haben wir 600 leitende Angestellte mittelständischer europäischer Unternehmen mit 250 bis 2.500 Mitarbeitern befragt. Im Schnitt liegt der Informationsrisiko-Index für europäische mittelständische Unternehmen bei 56,8 Punkten. Das ist zwar ein deutlich besseres Ergebnis im Vergleich zu 40,6 Punkten im Vorjahr. Wir sind aber damit noch weit vom Idealwert 100 entfernt. Je höher der Wert, desto besser schützt sich ein Unternehmen vor Datenrisiken. Es besteht also noch ein großer Handlungsbedarf.

Wie stehen deutsche Firmen im europäischen Vergleich da?

Fischer: Deutsche Unternehmen belegen 2013 mit 55,5 Punkten den dritten Rang hinter den Niederlanden und Ungarn. Das ist zwar eine deutliche Steigerung im Vergleich zum Vorjahresergebnis von 39,7 Punkten. Die Anstrengungen reichen aber nicht aus. Denn Datenpannen haben um 50 Prozent zugenommen. Mittelständische Unternehmen in Deutschland schützen sich insgesamt nicht ausreichend gegen Datenmissbrauch. Dabei sind die wirtschaftlichen Folgen verheerend. Und das nicht nur aus Sicht von Datenschutz oder Compliance. So lehnen 51 Prozent der Befragten die Geschäftsbeziehung zu einem Unternehmen mit einer Datenpanne ab. Durch Datenmissbrauch können auch die Reputation und die Beziehung zu Kunden erheblich Schaden nehmen.

Wissen die Unternehmen um diese weitreichenden Folgen?

Fischer: Unternehmen haben mittlerweile die Brisanz des Themas erkannt. Nach unserer Befragung rechnen 44 Prozent der Unternehmen mit einer Zunahme der Datenpannen. Immerhin 63 Prozent werten einen verantwortungsvollen Umgang mit Informationen als essentiell für den wirtschaftlichen Erfolg. Es mangelt also nicht an Bewusstsein. Dennoch ziehen Unternehmen daraus keine Konsequenzen. Sie wissen eigentlich, dass sie etwas tun müssen, aber im Hinblick auf die zunehmende Komplexität und die ständig steigenden Risiken tun sie zu wenig.

Woran liegt das?

Fischer: Nicht einmal die Hälfte der befragten Unternehmen besitzt eine individuell ausgearbeitete Informationsstrategie. Diese ist aber Voraussetzung, um Daten zu schützen und Missbrauch zu verhindern. Aber selbst die Unternehmen mit einer Strategie zeigen Schwächen. So führen 38 Prozent von ihnen kein effektives Monitoring durch. Außerdem sollte Datensicherheit Chefsache sein. Doch 47 Prozent der Unternehmen gaben an, dass das Thema bei ihnen auf der Chefetage nur geringe Priorität besitzt. Auch der wirtschaftliche Nutzen von Datensicherheit wird in der Realität häufig unterschätzt.

Wie können Unternehmen für mehr Datensicherheit sorgen?

Fischer: Dazu ist eine umfassende Risikostrategie gefragt, die die Unternehmensführung vorantreiben und tragen muss. Sie muss sich im Klaren sein, welche wirtschaftlichen Schäden Datenpannen auslösen können. In einem ersten Schritt ist eine Bestandsaufnahme notwendig. Wo werden Informationen gesammelt und genutzt und wie kann der Missbrauch verhindert werden? Dabei spielt auch die Unternehmenskultur eine wichtige Rolle. Denn Mitarbeiter auf allen Ebenen müssen für das Thema sensibilisiert sein und Verantwortung übernehmen. Mit individuell zugeschnittenen Managementlösungen lassen sich Risiken in Unternehmen gezielt reduzieren.