Bringt Euch in Sicherheit!
Die Vorschriften zur Erstellung von IT-Sicherheitsrichtlinien sind noch relativ unbekannt, dabei aber enorm wichtig …
Zum Jahresende wollten wir es nochmals wissen. Wir wollten wissen, ob die, die nichts wissen, eigentlich wissen, dass sie nichts wissen? Und die Antwort ist: Ja, sie wissen, dass sie nichts wissen, jedenfalls mehrheitlich. Woher wir das wissen? Wir haben sie gefragt.
Im Rahmen einer MR&S-Panelumfrage bei kleinen und mittleren Unternehmen zur IT-Sicherheit (Erhebungszeitraum Ende September 2004) haben wir die Frage gestellt: “Fühlen Sie sich ausreichend über die rechtlichen Folgen eines zu niedrigen IT-Sicherheitsniveaus informiert?” Über 60 Prozent der Befragten nahmen für sich ein Informationsdefizit in Anspruch und gaben an, über die Folgen eines zu niedrigen IT-Sicherheitsniveaus nicht ausreichend informiert zu sein. Ein gutes Drittel der Befragten glaubt dagegen, über die möglichen rechtlichen Folgen eines zu niedrigen IT Sicherheitsniveaus ausreichend informiert zu sein.
Wir wollten auch wissen: “Mit welchen rechtlichen Folgen muss man Ihrer Meinung nach bei entstandenen Schäden durch ein zu niedriges IT-Sicherheitsniveau rechnen?” Hier waren die Antworten klar. “Der Chef zahlt!” Knapp 80 Prozent der Befragten erklärten, die Geschäftsleitung müsse für die entstandenen Schäden aufkommen. Gut die Hälfte (56,1 Prozent) gab an, die Versicherung werde nicht für die Schäden einstehen. Immerhin jeder Zehnte glaubt dagegen, der IT-Verantwortliche hafte persönlich.
Wie sehen wir die Ergebnisse? Wir glauben, dass das Informationsdefizit größer ist als angegeben. Wer gibt schon gerne zu, nicht ausreichend informiert zu sein, insbesondere, wenn man Entscheider(innen) fragt? Und die Haftung der Geschäftsleitung? Hier zahlt der Chef nicht zu 80 sondern zu 100 Prozent, wenn das IT-Sicherheitsniveau schuldhaft zu niedrig ist. Die persönliche Haftung des IT-Verantwortlichen wird dagegen überschätzt. So schlecht wie vermutet sind die IT-Verantwortlichen gar nicht. Sie haften nämlich nur persönlich, wenn sie die erforderliche Sorgfalt ihres Jobs vorsätzlich oder grob fahrlässig außer Acht lassen. Und wer macht das schon? Jedenfalls nicht jeder zehnte IT-Verantwortliche.
Aber, liebe Chefs, Datenschützer und IT-Verantwortliche, haben Sie eine schriftliche IT- Sicherheitsrichtlinie? Nein, nein, wir meinen nicht die Copy/Paste-Ausführung aus dem Internet, wir meinen eine echte, die auf Ihr Unternehmen zugeschnitten ist. Wenn nicht, dann sollten Sie sich an die Arbeit machen, denn 2005 wird das Jahr der IT- Sicherheitsrichtlinie. Sie glauben es nicht? Wir nehmen noch Wetten an. Sie denken, das sei verbotenes Glücksspiel? Das sehen wir anders. Verbotenes Glücksspiel ist, wenn Sie keine geeignete IT-Sicherheitsrichtlinie vorweisen können. Wetten Sie ruhig mit uns. Das Gesetz ist auf unserer Seite, spätestens seit dem 23. Mai 2004.