Ehrlich währt am längsten – auch bei Datenabflüssen!

Der Abfluss von Datenströmen ist natürlich kein reines IT Problem. Aber CIOs haben aufgrund ihrer Position im Unternehmen die Möglichkeit dafür zu sorgen, dass ein ehrlicher Umgang damit die einzig mögliche Vorgehensweise ist.

Die angesprochene Untersuchung wurde dieses Jahr auf der RSA-Konferenz in den USA durchgeführt. Einige Schlussfolgerungen sind sogar noch überraschender; immerhin arbeitet ein Großteil der über 1000 Befragten für US-amerikanische Firmen.

Im Gegensatz zu den vielen Ländern in Asien und Europa, ist eine Meldepflicht in den USA sehr streng. Das heißt: Die Vertuschung von Datenabflüssen ist schlichtweg illegal!

Trotzdem verschweigen viele Firmen einen Datenabfluss lieber: Der Schaden durch Compliance-Strafen, Bereinigungskosten oder negative Presse ist enorm! Auch Kunden oder Investoren könnten abspringen – vom Aktienkurs ganz zu schweigen.

Riskante Geschäfte

Wenn Cyberkriminelle Ihre Organisation kompromittieren wollen, müssen Sie davon ausgehen, dass sie erfolgreich sind! Als CIO oder Sicherheitsverantwortlicher sollten Sie mindestens eine Kultur der Offenheit fördern.

Die Meldung von Sicherheitsvorfällen oder auch „nur“ Verdachtsmomenten sollte begrüßt werden und nicht negativ behaftet sein. Nur dann besteht überhaupt eine Chance, mögliche Vorfälle frühzeitig entdecken.

Dazu braucht es ein gewisses Rahmenwerk. Der erste Schritt besteht in einer umfassenden Risikoanalyse. Erst danach kann man sich mit der Geschäftsführung zusammenzusetzen.

Dabei geht es primär um die Entscheidung, welches Risiko sie bereit ist zu tragen. Jede Organisation hat hier andere Vorstellungen. Diejenigen, die bereit sind, ein höheres Risiko zu tragen, werden dabei weniger in Informationssicherheit investieren als umgekehrt.

Ist diese Entscheidung gefällt, gilt es, das entsprechende Budget in Werkzeuge zur Risikoverwaltung und -minderung zu investieren. Damit hat die IT-Abteilung gute Voraussetzungen geschaffen, um sich „den Rücken freizuhalten“.

Immerhin sollte es jetzt keinen Grund zum Verschleiern von Datenabflüssen mehr geben. Geschieht dies doch, dann häufig aufgrund von Unsicherheiten, fehlenden Strukturen bzw. dem Fehlen einer risikobasierten Entscheidungsgrundlage.

Leider schulen die wenigsten ihre Mitarbeiter explizit über den gewünschten Verhaltenskodex. In großen Organisationen heißt es oft „learning-by-doing“. In kleinen und mittelgroßen ist selbst dies kaum der Fall. Dies führt dazu, dass in der IT-Abteilung Vorfälle manchmal „versanden“.

Verhaltenskodex als blinder Fleck?

Es ist daher umso wichtiger, explizit einen Verhaltenskodex („code of conduct“) festzulegen. Dieser sollte auch ganz klare Regeln zum Melden von Vorfällen und Verdachtsmomenten, aber auch den Umgang damit enthalten.

Natürlich bedeutet dies einen gewissen Aufwand. Allerdings ist es sinnvoller, den Aufwand vorher zu betreiben. Im Ernstfall weiß dann jeder, wie er sich zu verhalten hat – und die Wahrscheinlichkeit, dass alles glatt läuft, ist deutlich höher als bei panischen Ad-hoc-Entscheidungen im Eifer des Gefechts.

Auch lässt sich jeder Vorfall damit als eine Verbesserungsmöglichkeit und nicht als Versagen begreifen. Es ist eine Möglichkeit zu lernen und sich mit den gewonnenen Erkenntnissen wieder mit der Geschäftsführung zusammenzusetzen.

Sei es, um das eigene Profil zu schärfen bzw. zu stärken – oder um (hoffentlich) über eine Erhöhung des Budgets zu diskutieren. Und als ob das nicht Anreiz genug wäre, gibt es da noch die Datenschutz-Grundverordnung der Europäischen Union. Wenn diese in Kürze in Kraft tritt, haben wir hier ähnlich scharfe Auflagen und Meldepflichten wie in den USA, inklusive sehr empfindlicher Strafen für Zuwiderhandlungen.

Dies sollte also ein weiterer guter Grund sein, sich vorzubereiten und einen risikobasierten Ansatz im Unternehmen einzuführen. Denn mit diesem gesetzlichen Hintergrund währt ehrlich tatsächlich am längsten – und ist der beste Weg, die Sicherheit zu verbessern.