Alexander Neff, CEO bei Quest Software

Business&IT: Eine von Quest Software beauftragte und von Vanson Bourne durchgefu?hrte Umfrage zum Thema Datenschutz in Europa wurde heute veröffentlicht. Was ist die Haupterkenntnis?

Alexander Neff: Es wurden jeweils 175 deutsche, englische und französische CIOs zum Thema Datenschutz im Unternehmen befragt. Das Fazit: Die Art und Weise wie Mitarbeiter Informationen austauschen birgt reale Risiken fu?r den Datenschutz. CIOs in Europa schätzen, dass Datenverlust Unternehmen jährlich rund 2,7 Millionen Euro kostet - sei es durch Reputationsverlust und entsprechend entgangenem Umsatz oder durch Strafen wegen nicht eingehaltener Compliance. Das Thema Datenschutz sollte daher absolute Priorität in Unternehmen haben und ru?ckt auch zunehmend in den Fokus.

Warum stellen Mitarbeiter ein Risiko fu?r den Datenschutz dar?

Alexander Neff: Es ist sicherlich der pragmatische Umgang von Mitarbeitern mit sensitiven Informationen und ein wenig ausgebildetes Verantwortungsbewusstsein fu?r den Schutz unternehmenskritischer Daten zu erkennen. 65 Prozent der CIOs in Europa gehen davon aus, dass die Mitarbeiter ihre Daten so schnell und leicht wie möglich austauschen. Dabei werden aber oftmals IT-Richtlinien umgangen. In Deutschland sprechen sich 57 Prozent der CIOs dafu?r aus, dass eine größere Verantwortung fu?r den Austausch, die Speicherung und das Management von Unternehmensdaten bei den Organisationen und Mitarbeitern liegen sollte.

Welche Daten verlassen das Unternehmen?

Alexander Neff: Im europaweiten Durchschnitt sind es hauptsächlich Personaldaten (42%), Kundendaten (33%) und HR-Informationen (31%), die u?ber die gängigen sozialen Netzwerke und Seiten von Drittanbietern ausgetauscht werden. In den vergangenen 12 bis 18 Monaten wurden Personaldaten (30%), Kundendaten (25%) und Finanzinformationen (23%) fu?r Unbefugte zugänglich gemacht. Von den CIOs mit einem Datenschutzproblem im Unternehmen gaben 33 Prozent an, dadurch das Kundenvertrauen verloren zu haben und 32 Prozent gehen von einem Reputationsverlust ihres Unternehmens aus.

Was verbirgt sicher hinter dem Problem?

Alexander Neff: Hinter einem Datenverlust verbirgt sich immer eine mangelhafte Security-Richtlinie, die normalerweise unternehmenskritische Informationen schu?tzen sollte. Technisch gesprochen ist das eng mit einem unzureichenden Prozess des Identity und Access Management (IAM) im Allgemeinen und einer fehlenden Access Governance im Speziellen verbunden. Dieser Prozess sollte immer hinreichend an die aktuellen Bedu?rfnisse der Mitarbeiter angepasst werden. Genau hier scheint es aber Probleme zu geben. 98 Prozent der europäischen CIOs gaben an, dass Mitarbeiter bestimmte Seiten von Drittanbietern als "Workarounds" fu?r die Speicherung und den Austausch von Informationen verwenden, was auch in den meisten Fällen Auswirkungen auf die Einhaltung von Compliance-Richtlinien hat. Das kann sich wiederum negativ auf die Zusammenarbeit und Produktivität auswirken, wenn die Mitarbeiter keinen Zugriff auf die fu?r ihre Aufgabe benötigten Informationen haben.

Wie ist die Lage in deutschen Unternehmen?

Alexander Neff: Die deutschen Unternehmen sind fortschrittlicher, was ihre IAM-Prozesse betrifft. Das u?berrascht nicht, betrachtet man die gute IT-Expertise in Deutschland und das hohe Problembewusstsein bei Sicherheitsthemen. Laut Umfrage wollen 81 Prozent der deutschen CIOs das Thema IAM in diesem Jahr zur Priorität machen. Als Grund gibt fast jeder dritte IT-Entscheidungsträger (28 Prozent) die befu?rchteten finanziellen und rechtlichen Konsequenzen bei Datenverlust und Sicherheitsverstößen an. Viele Unternehmen haben also die immensen Risiken fu?r Sicherheit, Finanzen und Reputation durch Informationsverlust erkannt. 49 Prozent der deutschen CIOs waren zudem in den vergangenen 12 Monaten zunehmendem Druck ausgesetzt, um die Unternehmensdaten zu schu?tzen, insbesondere angesichts der wiederholten Berichterstattung zum Thema Verlust von Unternehmensdaten. Der stärkste Druck in deutschen Organisationen kommt dabei von der internen Rechtsabteilung (39%), den CEOs (30%) und den Behörden (23%).

Wie kann der CIO diese Risiken minimieren?

Alexander Neff: Es gibt dazu einige Best Practices. Besonders wichtig ist die Vorbeugung und Risikominimierung durch Aufklärung, Sorgfalt und gut aufgesetzte technische Lösungen und Prozesse. Auch regelmäßig geänderte Passwörter helfen. Ferner sollten CIOs im Rahmen einer "Least Privilege" Security-Strategie den Mitarbeitern nur so viele Rechte geben, wie sie tatsächlich brauchen und diese Zugriffsrechte widerrufen, wenn ein Mitarbeiter seine Rolle wechselt. Eine Richtlinie zur Nachverfolgung von Zugriffen sollte zudem Administratoren auf Zugriffsänderungen, Mitarbeiterwechsel oder andere kritische Sachverhalte aufmerksam machen. Werden dann noch Praktiken und Technologien fu?r die Zugangskontrollen und Aufgabentrennung ("Separation of Duties") implementiert, kommen CIOs einer durchgehenden Compliance in ihrem Unternehmen einen großen Schritt näher. Das ist auch notwendig, da viele Firmen bereits anfangen, Security-Richtlinien von ihren Geschäftspartner vorauszusetzen.

Zur Person

Seit Januar 2011 bekleidet Alexander Neff die Position Geschäftsfu?hrer fu?r die Region Deutschland, Österreich und Schweiz (DACH) bei Quest Software, jetzt Teil von Dell. Bis Ende 2010 war der Vertriebsprofi mit Security-Expertise als Senior Director Channel Sales Zentraleuropa bei der Symantec Deutschland GmbH tätig. Diese Position hatte er etwa drei Jahre lang inne. Dort verantwortete er den Mittelstandsvertrieb, den Partnervertrieb, strategische Allianzen und den Distributionsbereich in der Region. Bereits von 2003 bis 2006 war er bei Symantec tätig, damals als Enterprise Account Manager.