Studie: Banken und Information Risk Management

Information Risk Management hat in den Chefetagen der Banken höchste Priorität – doch der Fortschritt läuft schleppend
Ungeachtet des hohen Stellenwerts des Risikomanagements setzt weniger als ein Drittel der Führungskräfte in den Geldinstituten auf ein integriertes Sicherheitskonzept

(31.10.07) - RSA, The Security Division of EMC, legte die Resultate ihrer Studie zum Thema Information Risk Management in Europa vor. Die Untersuchung, die von der Firma Datamonitor bei europäischen Finanzdienstleistern durchgeführt wurde, ergab, dass Banken sehr wohl wissen, wie wichtig das Informationsmanagement auf strategischer Ebene ist. 75 Prozent der Befragten waren sich auch über die Vorteile im Klaren, die das Management von Informationen über ihren gesamten Lebenszyklus hat. In der Praxis jedoch ist oft unklar, wie diese Informationen am besten zu verwalten sind und welchen Risiken sie unterliegen.

Zielgruppe der Erhebung waren Führungskräfte für die Bereiche IT, Risk Management und Compliance sowie CEOs, COOs und CIOs von Finanzdienstlern in Deutschland, Großbritannien, Spanien, Italien und Benelux. Die Studie sollte Aufschluss darüber geben, wie Banken an das Thema Information Risk Management herangehen.

Besonders in einem Klima, in dem praktisch wöchentlich neue Sicherheitsrisiken aufgedeckt werden und in dem die Anwendung höchster Datenschutz-Standards entscheidend für die Kundenbindung und den Ruf eines Unternehmens ist. Ein Ergebnis der Untersuchung ist, dass das Information Risk Management tatsächlich im Unternehmen an Bedeutung gewinnt. 67 Prozent der Befragten hielten es für wichtig, dieses Thema auf der Unternehmensebene anzugehen. Deutlich wurde in der Umfrage allerdings auch der schleppende Fortschritt auf dem Weg zu diesem Ziel. Nur 32 Prozent gaben an, den ersten Schritt in Sachen Information Risk Management getan und Datensilos beseitigt zu haben.

Ein ganzheitliches Konzept ist nötig
Die Befragten bezeichneten interne organisatorische Barrieren als das entscheidende Hindernis zur besseren Beherrschung von IT-Risiken. Wie die Studie außerdem ergab, wird das Risiko nicht als Bestandteil einer durchgängigen Gesamtstrategie angesehen. Beispielsweise gab die Hälfte aller Befragten zu, dass die Einhaltung einschlägiger Vorschriften nicht auf strategischer Ebene, sondern fallweise angegangen wird.

Zu dieser fragmentierten Vorgehensweise passt die relativ rückständige Meinung zur Informationssicherheit sowie der Art und Weise, wie diese Sicherheit erzielt werden kann. Nur 19 Prozent der Befragten war klar, dass eine Absicherung an den Außengrenzen nicht ausreicht, die Informationsbestände einer Bank zu schützen. Zwar richtet nahezu die Hälfte (47 Prozent) die Anstrengungen bereits darauf aus, die Informationen durch Sicherung der Außengrenzen zu schützen, doch nur 43 Prozent erkennen die Notwendigkeit, das Information Riskmanagement auch auf Daten auszudehnen, die sich außerhalb des eigenen Systems bei Partnern, Beratern und Subunternehmern befinden. Hieran wird eine ernste Diskrepanz zwischen Wunsch und Wirklichkeit deutlich.

Andrew Moloney, Director of Financial Services, EMEA bei RSA, kommentierte: "Die Mehrzahl der befragten Banken glaubt zu wissen, über welche Informationen sie verfügen, wo sich diese befinden, wie sie gespeichert werden und wie der Zugriff auf sie im Unternehmen erfolgt. Ihr Datensilo-Konzept hindert sie jedoch die Risiken genau zu bewerten, denen diese Informationen bei der Übertragung während ihres Lebenszyklus ausgesetzt sind. Informationen werden immer mobiler und kommen in unterschiedlichster Form vor – als E-Mail, Anhang oder Datenbank.

Ein auf die Außengrenzen beschränktes Sicherheitskonzept reicht folglich nicht mehr aus, um die Risiken, welche die Integrität von Informationen bedrohen, zu beherrschen. Speziell für Finanzinstitute, deren Geschäftserfolg von einem sicheren Informationsfluss sowie dem Management und dem Schutz der Informationen abhängt, darf die Zuständigkeit hierfür nicht mehr allein der IT-Abteilung auferlegt werden.

Dieser Aspekt betrifft vielmehr das gesamte Unternehmen. Finanzinstitute sollten aufhören, Informationsrisiken in einer Art Vakuum zu betrachten, sondern sich diesem Thema auf konsolidierte und ganzheitliche Weise stellen. Informationen und das Informations-Management sollten der wichtigste Aspekt sein, in dem sich ein Finanzdienstleister von seinen Mitbewerbern unterscheidet."

Martha Bennett, Research Director, Financial Services bei Datamonitor, fügte hinzu: "Informationssicherheit hat viel mit physischer Sicherheit gemeinsam. Ein Hausbesitzer kann noch so ausgefeilte Alarmanlagen installieren. Mit genügend krimineller Energie wird ein Einbrecher dennoch stets Wege finden, in das Gebäude einzusteigen. Ein gemeinschaftliches Informationssicherheits-Konzept kann eine wirksame Verteidigungslinie bilden, doch nach unserer Erhebung sind die Banken hinsichtlich der Informationssicherheit nach wie vor zu optimistisch.

Den Finanzinstituten bleibt nichts anderes, als sich der Prozesse und der organisatorischen Silos anzunehmen, die sie daran hindern, die Risiken für die Informationssicherheit auf effektive Weise anzugehen und sich dem Thema Information Risk Management auf der Unternehmens-Ebene zu stellen."

Die RSA-Studie zum Thema Information Risk Management
Die Untersuchung wurde im Oktober 2007 durch das Marktforschungsunternehmen Datamonitor unter anderem bei CIOs, IT-Sicherheits-Verantwortlichen, Compliance-Leitern, leitenden Managern des IT und Risiko-Bereichs sowie COOs durchgeführt. Dabei wurden Deutschland, Großbritannien, Spanien, Italien und Benelux erfasst. Bei den befragten Finanzinstituten handelte es sich um Organisationen mit einem Anlagevermögen zwischen umgerechnet 20 und 250 Mrd. US-Dollar.
(RSA: ra)