Eine Studie von Tripwire und dem Ponemon US-Institut belegt, dass viele der weltgrößten Unternehmen nur unzureichend auf die neue Europäische Datenschutzrichtlinie vorbereitet sind. Demzufolge prognostiziert die Studie allen Unternehmen deren IT-Sicherheit nicht auf die EU-Datenschutzverordnung ausgelegt ist, gewaltige Strafzahlungen.

Die EU-Direktive, die im July 2013 eingeführt wurde, setzt voraus, dass Unternehmen nach Cyber-Angriffen frühzeitige Warnungen und Berichtsvorfälle veröffentlichen an die jeweiligen Datenschutzbehörden melden müssen.

Unternehmen, die von einem Cyber-Datendiebstahl betroffen sind, weil die interne IT-Sicherheit nicht auf dem aktuellen Stand war um digitale Kundendaten zu effizient zu schützen, droht eine Strafe von bis zu 2 % vom jeweiligen Jahresumsatz.

Eine Studie des US-Unternehmens Tripwire, die 1320 IT-Sicherheits-Experten die in den Bereichen Gesundheitswesen und Pharmazeutik, Finanz-Dienstleistungen, dem Öffentlichen Sektor, Handel, Industrie und Dienstleistern sowie aus dem Technologie, Software- und dem wissenschaftlichen Bildungsbereich stammen, ergab, dass die meisten der befragten Unternehmen nur unzureichend auf die Datenschutzrichtlinie vorbereitet sind und sich somit im Ernstfall mit Strafzahlungen in Millionenhöhe ausgesetzt sehen können.

Gesamtüberblick der Studie:

  • 28 % aller Unternehmen verfügen über kein durchentwickeltes Risiko-Management auf allen Unternehmensebenen.
  • Nur 5% verfügen über ein ausgereichtes auf Riskio-Management basiertes IT-Sicherheitssystem
  • Die Größten Hürden für ein effektives Risik-Management für diese Unternehmen:

  • 34 % gaben an nicht über die notwendigen und ausreichenden Kostenmittel und Budgets zu verfügen
  • 18 % gaben an, dass seitens Ihrer Vorgesetzen die Notwendigkeit für Investitionen auf Unverständnis stößt
  • 48 % der Befragten beklagten nicht über das passende Personal oder die entsprechenden Experten im Unternehmen zu verfügen.
  • Nur 51% aller Befragten bewerten Risiken generell
  • Nur 58% aller Befragten bewerten IT-SchwachstellenNur 58% aller Befragten bewerten IT-Bedrohungen

Dwayne Melancon, CTO bei Tripwire hierzu: “Die neue EU Direktive hat einen großen Einfluß auf jedes Unternehmen welches geschäftlich in der Europäischen Union aktiv ist, auch wenn die Unternehmenszentrale nicht in der EU, sondern in den Vereinigten Staaten, in Asien oder anderorts liegt.

“Den Ländern wird zwei Jahre Zeit gegeben, um die EU-Richtlinie einzuführen und Unternehmen sollen die Zeit nutzen um ihre eigenen Sichheits-Strukturen zu verbessern und um hierdurch sicher zu stellen, dass bei der Identifikation von IT-Vorfällen und den Reaktionsprozessen alles reibungslos und effizient funktioniert. Zudem sollen die Angriffsmöglichkeiten auf Systeme, Applikationen und Netzwerke und somit auch das Risko potentieller Einfallstore für Daten-Diebstahl in dieser Zeit seitens der Unternehmen minimiert werden.".

Weitere Ergebnisse der Studie belegen, dass:

  • Nur 13 % aller Unternehmen regelmäßige Meetings zum Stand von Sicherheitsrisken durchführen.
  • 25% aller Befragten die Sicherheits-Risiken oder potentielle Angriffsziele innerhalb des Unternehmens nicht "nach oben" melden
  • 37 % aller Befragten kommunizieren Sicherheitsrisiken nur nach oben wenn bereits Angriffe auf IT-Schwachstellen nachweislich vollzogen wurden.
  • 49 % glauben das die bestehende Kommunikation zu Sicherheitsrisiken nicht effektiv genug sei, da:
    • 59 % sagen die Informationen seien zu technisch um von einem Nicht-Techniker aus dem Management überhaupt verstanden werden zu können.
    • 55 % sagen negative Fakten würden herausgefiltert bevor diese an die Geschäftsführung weitergeleitet würden.
    • 14 % sagen Geschäftsführung oder Gesellschafter seien an derlei Informationen nicht interessiert.
    • 36 % sagen es dauere zu lange um entsprechende Berichte anzufertigen und diese an die Geschäftsführungsebene weiterzuleiten.

“Die Höhe potentieller Strafzahlungen die mit der neuen EU-Datenschutzverordung einzug halten sind so enorm, dass diese garantiert auf die Aufmerksamkeit von CEOs und Vorständen treffen werden. Es obliegt gerade der Geschäftsleitung klare Antworten auf drängende Fragen hinsichtlich der IT-Sicherheitsrisiken im Unternehmen vom Führungsstab der IT-Sicherheit zu suchen. Insbesondere die notwendigen Schritte hin zu einer entsprechenden Compliance zur EU-Datenschutzverordnung einzuleiten bevor diese überhaupt effektiv in Kraft trifft", so Melancon weiter.