PwC: Innenrevision als letzte Verteidigungslinie des Informationsrisikomanagements

27. August 2012 | Von | Kategorie: Top News

InformationssicherheitWie folgenreich sich Datenlecks und -diebstähle auf die betroffenen Unternehmen auswirken können, zeigen hierzulande die aktuellen Beispiele der Schweizer Banken UBS und Julius Bär.
Vermutlich durch Insider waren Daten von deutschen Anlegern den Steuerbehörden zugetragen worden. Doch das Thema Informationssicherheit und Informationsrisikomanagement ist nicht nur ein Thema der Finanzbranche. Eine aktuell von der Prüfungs- und Beratungsgesellschaft PricewaterhouseCoopers (PwC) veröffentlichte Studie verdeutlicht, dass sich der durchschnittliche Wertverlust einer Unternehmensmarke infolge Datendiebstahl und -missbrauch zwischen 184 und 330 Mio. Dollar bewegt. So sorgten bereits viele Fälle von gestohlenen Nutzerdaten auf Onlineplattformen für große öffentliche Aufmerksamkeit – verwiesen sei etwa auf jüngste Probleme beim Cloud-Dienstleister Dropbox. Nach Ansicht der Experten wird dieses Risiko weiter zunehmen – allein schon der Tatsache geschuldet, dass Unternehmen immer größere Mengen von Kunden- und Mitarbeiterdaten speichern. Auch dürften die mit einem Datenmissbrauch verbundenen Reputationsrisiken steigen, da sich etwa Informationen zu Datenlecks über das Internet schnell verbreiten und die Öffentlichkeit für dieses Thema mittlerweile sensibilisiert ist. In diesem Kontext berichteten wir vor kurzem über den problematischen Umgang der Banken mit ihren Reputationsrisiken (vgl. RMRG vom 21.8.).

Die PwC-Studie kommt zu dem Schluss, dass die meisten Unternehmen teilweise sehr effektive Datenschutzrichtlinien und Sicherheitskontrollen implementiert haben – diese jedoch firmenintern nicht immer befolgt werden. Auch würden neue Risiken im Bereich der Informationssicherheit oft zu spät erkannt. Um diese Probleme zu adressieren, haben die Berater das Konzept der drei “Verteidigungslinien” entwickelt. Als erste Linie wird dabei auf die Verantwortung des Managements einer Firma hingewiesen. Unternehmen die in Sachen Informationssicherheit besonders gut aufgestellt sind, hätten die Verantwortlichkeiten der entsprechenden Sicherheitsregimes auf höchster Managementebene angesiedelt. Als zweite Linie wird auf effektive Risikomanagement- und Compliance-Funktionen hingewiesen. Mittels dieser werde das firmeninterne, hierarchieübergreifende Reporting von risikorelevanten Informationen ermöglicht. Als dritte “Verteidigunglinie” und letzte Absicherung wird die Bedeutung einer effizienten Innenrevision unterstrichen. Diese sollte die Unternehmensführung und den Aufsichtsrat mit objektiven Informationen darüber versorgen, wie Risiken firmenintern eingeschätzt und gehandhabt werden. Ohne diese kontrollierende Absicherung gebe es immer die Gefahr, dass die Anwendung von Regeln zur Informationssicherheit mangelhaft wird. Doch um diese Rolle auszufüllen, müsse die Innenrevision eines Unternehmens mit entsprechenden Kompetenzen ausgestattet werden.

 


Tags: , , , , , , , ,

Keine Kommentare möglich.