Deutsche Unternehmen ignorieren BSI-Standards

Jedes zweite Unternehmen in Deutschland hält nichts von den Standards, wie sie vom Bundesamt für Sicherheit in der Informationstechnik (BSI) vorgegeben werden und ignoriert diese. Hohe Schadenersatzforderungen können die Folge sein, wenn beispielsweise Kundendaten den Weg an die Öffentlichkeit finden und das Unternehmen keine geeigneten Maßnahmen zur Risikovermeidung nachweisen kann.

Ungeachtet des drohenden Schadens auf finanzieller und Image-Ebene hat sich der Anteil der vorsorgenden Unternehmen im vergangenen Jahr verglichen mit 2007 nicht erhöht. Das ist das Ergebnis der Studie „IT-Security 2008“ der InformationWeek in Zusammenarbeit mit Steria Mummert Consulting.

Der Studie zufolge liegt der Anteil der Firmen mit IT-Risikomanagement entsprechend des BSI-Standards bei knapp einem Drittel. Ein gesetzlicher Zwang besteht zwar nicht, aber aus den vielen neuen gesetzlichen Regelungen mit Bezug zur IT-Sicherheit können jedoch Haftungs- und Handlungsverpflichtungen abgeleitet werden. Hierbei spielt vor allem das Gesetzt zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) eine entscheidende Rolle. Es ändert vornehmlich Regelungen des Handelsgesetzbuches (HGB) und des Aktiengesetztes (AktG) und sieht u. A. die Etablierung eines internen Kontrollsystems vor. Zusätzlich besteht durch das Bundesdatenschutzgesetzt eine weitere Grundlage für Schadenersatzansprüche.

Laut Wolfgang Nickel, IT-Security Experte bei Steria Mummert Consulting, reduzieren Unternehmen das Risiko, wenn sie ein internes Kontrollsystem eingeführt haben.