Europa Treuhand Ernst & Young warnt vor unzureichender IT-Sicherheit

Für die Prüfer der eRisk Solutions-Abteilung von Europa Treuhand Ernst & Young bietet sich ein besorgniserregendes Bild. Selbst in den großen österreichischen Unternehmen sind IT-Prozesse und IT-Sicherheitsprozesse nicht hinreichend definiert, nicht dokumentiert, nicht messbar und nicht überwacht. Die entstehenden Sicherheitslücken können sowohl für die beteiligten Unternehmen, als auch für die Verantwortlichen zur Existenzbedrohung werden. Bekannt werden nur die gröbsten Sicherheitsprobleme von Unternehmen mit wirklich klingenden Namen. Schäden in Milliardenhöhen werden kolportiert, tatsächlich liegt der betriebswirtschaftliche Schaden aber weit höher, da die Folgekosten unberücksichtigt bleiben. Neben Kosten durch Produktivitätsausfälle, erhöhtem Reparaturaufwand oder Datenverlust, sind es vor allem die immateriellen Schäden, die zu Buche schlagen: der Vertrauensverlust bei den Kunden, der Imageschaden für ein Unternehmen oder eine Marke in der Öffentlichkeit und die Kosten, um das Vertrauen in das Unternehmen wieder herzustellen. Schwachstellen in Prozessabläufen führen zu unkalkulierbaren Risiken Eine internationale Studie von Ernst & Young zeigt, dass 75% der Unternehmen über Notfallpläne verfügen, diese aber von nur einem Drittel getestet werden. Nur 33% der Unternehmen glauben, Hacking-Attacken überhaupt zu entdecken. 75% der Antwortenden hatten kritische Systemausfälle im letzen Jahr zu verzeichnen (Quelle: Ernst & Young 2001). Die praktischen Erfahrungen des eRisk Solutions Teams von Europa Treuhand Ernst & Young zeigen, dass die Situation auch in Österreich besorgniserregend ist. In den meisten Unternehmen gibt es kein Monitoring der IT-Systeme und keine Messgrößen zur laufenden Bewertung. Oftmals sind IT-Prozesse nicht einmal definiert – eine Steuerung der Prozesse ist dann nicht möglich. Das notwendige Business Continuity-Management ist kaum existent. Je nach Ausprägung des Unternehmens greifen das Aktiengesetz (§82) oder das GmbH-Gesetz (§22), die im Rahmen der Vorstands- oder Aufsichtsratshaftung und der Konkursordnung zu verhängenden Strafen können für die Beteiligten existenzbedrohend werden. Die Problematik rund um Haftungsfragen sowie lokale und internationale Standards (DSG, ISO 17799 etc.) sind in den Unternehmen zumeist unbekannt, aber durch die Internationalisierung des Rechts im Wirtschaftsbereich sind Vorstands- und Aufsichtsratshaftung beispielsweise unter den Aspekten von Corporate Governance, des Business Continuity Managements und des Risk Managements besonders brisant.

Viele Angriffe werden erst durch Unwissenheit von Systemadministratoren möglich. Um dieses Wissen kompakt bereitzuhalten und permanent zu aktualisieren wurde eSecurityOnline, eine Online-Datenbank mit über 3.000 bekannten Sicherheitsmängeln und Anleitung zur Behebung dieser entwickelt. Die bereitgestellten Informationen sind stets aktuell und werden von mehr als 150 Full Time Professionals gewartet. Um Sicherheitslücken und anderen Katastrophen zu begegnen, sollte ein Unternehmen Notfallpläne basierend auf Business Impact Analysen, die die Auswirkungen von eventuellen Systemausfällen quantifizieren, sowohl für die IT als auch für das Kerngeschäft besitzen. Ernst & Young hilft bei der Erstellung und Umsetzung solcher Pläne.

http://www.ey.com/austria

Ihre Meinung dazu? Schreiben Sie hier!

Newsticker per eMail oder RSS/Feed!