2014 wurde der Informationsrisiko-Index nun schon zum dritten Mal von der Wirtschaftsprüfungsgesellschaft PwC und dem Informationsmanagement-Dienstleister Iron Mountain erhoben. Von einem Mittelplatz letztes Jahr rutschte Deutschland unverständlicherweise dieses Jahr auf den letzten Platz ab. Die Suche nach Gründen.

Von Engelbert Hörmannsdorfer

Das sind die Top-3-Prioritäten von Unternehmen beim Informationsmanagement (Quelle: Iron Mountain)Man kann es drehen und wenden, wie man will, aber die hiesigen IT- und Compliance-Verantwortlichen in Deutschland müssen es schlucken: Deutschland liegt beim diesjährigen Reifeindex zum Informationsrisiko auf dem letzten Platz. Letztes Jahr belegte man noch einen vertretbaren Mittelplatz, mit der Aussicht, weiter nach oben zu klettern. Doch das Gegenteil passierte: Es wurden etliche Bewertungspunkte abgegeben – und zugleich holten andere Länder deutlicher auf.

Der Reifeindex zum Informationsrisiko ist eine Kennzahl, die angibt, inwiefern Unternehmen ein geeignetes Schutzniveau zur Verringerung von Informationsrisiken – beispielsweise Datenverluste, Cyber-Angriffe oder Industriespionage – besitzen. Außerdem wird untersucht, wie Firmen auf wichtige Trends wie Big Data, Cloud-Storage und BYOD (Bring Your Own Device) reagieren. Bei einem Maximalwert von 100 sind Unternehmen vollständig auf Informations-Risiken vorbereitet.

Anzeige

Großunternehmen sind etwas besser dran als Mittelstand

Deutsche Unternehmen erreichen demnach mit 53,6 Punkten den diesjährigen niedrigsten Wert auf der Risikoskala. Die Studienergebnisse für Deutschland, Frankreich, Ungarn, Spanien, die Niederlande, das Vereinigte Königreich, die USA und Kanada zeigen, dass die durchschnittliche Punktzahl des Reifeindex zum Informationsrisiko für europäische Unternehmen im Jahr 2014 (56,1 Punkte) im Vergleich zum Vorjahreswert (56,8 Punkte) allerdings leicht gesunken ist. Insgesamt schneiden alle befragten Großunternehmen mit 65,7 Punkten besser ab, als der Mittelstand mit 55,3 Punkten.

Während Deutschland im Jahr 2013 mit 55,5 Punkten noch Rang drei im europäischen Vergleich belegte, rutschte der deutsche Indexwert nun deutlich ab. Deutschland liegt damit sowohl hinter den anderen fünf EU-Staaten als auch hinter den Vereinigten Staaten (54,1 Punkte) und Kanada (55,0 Punkte). Im Vorjahr noch auf Platz zwei, erreichte Ungarn in diesem Jahr mit 60,2 Punkten den höchsten Wert. Frankreich erzielt 56,9 Punkte. Die Punktzahl des Vereinigten Königreichs (55,9 Punkte) ist fast gleichauf mit den Niederlanden (55,8 Punkte). Spanien platziert sich mit 54,7 Punkten vor Deutschland.

Wenig Awareness für Bedeutung von Informationen

»Das Problem scheint zu sein, dass Informationen nicht richtig genutzt werden«, sagt Derk Fischer, Partner im Bereich Risk Assurance Solutions bei PwC Deutschland, gegenüber speicherguide.de. Zwar würden rund drei Viertel der befragten deutschen Unternehmen (72 Prozent) Informationen als wichtigen Asset betrachten, jedoch beschäftigt im Durchschnitt nur ein Drittel (31 Prozent) Datenanalysten, um den Nutzen aus ihren Informationen zu gewinnen.

Das bedeutet, dass das Potential weiterer Unternehmensschwerpunkte ebenfalls weitgehend ungenutzt bleibt. So verwendet weniger als die Hälfte der deutschen Firmen (46 Prozent) Informationen für Produkt- und Serviceinnovationen. Nur ein Viertel der deutschen Unternehmen (13 Prozent) verwendet Informationen, um eine schnellere Markteinführung zu erreichen. Gerade mal vier Prozent der deutschen Befragten geben an, dass Informationen die Entwicklungszyklen von Produkten und Dienstleistungen beschleunigen.

Schwerpunkte bei Data-Loss-Prevention und Compliance

Bei der Frage nach der Schwerpunktsetzung beim Informationsmanagement konzentriert sich die Mehrheit der deutschen Unternehmen auf das Vermeiden von Datenpannen (72 Prozent) und auf das Verhindern von gerichtlichen Schritten oder Geldstrafen für Rechtsverstöße (69 Prozent).

»Es überrascht, dass Deutschland als Datenschutz-Vorzeigeland und Ingenieursnation, in der es wichtig ist, Informationen bestmöglich vor fremden Zugriff zu schützen und das Maximum aus Informationen herauszuholen, am schlechtesten abschneidet«, sagt Hans-Günter Börgmann, Geschäftsführer von Iron Mountain Deutschland. »Generell offenbaren die diesjährigen Studienergebnisse eine beachtliche Lücke zwischen dem, was sich Unternehmen vornehmen und dem, was sie umsetzen. Unternehmen führen Informationsrisiko-Strategien ein, ohne jemals zu überprüfen, ob diese auch Wirkung zeigen. Das gleiche gilt für den Wert von Informationen, den sich die wenigsten Firmen zunutze machen, um bessere Produkte und Dienstleistungen zu entwickeln.«

Erwartungshaltung diametral zur Umsetzung

»Unternehmen stehen überall vor dem gleichen Problem. Sie sind in einer Informationslandschaft tätig, die durch eine zunehmende Vielfalt und Datenmenge sowie durch eine immer größere Geschwindigkeit gekennzeichnet ist, mit der Informationen erzeugt und ausgetauscht werden«, erläutert in diesem Zusammenhang Fischer. »All diese Faktoren setzen Informationen einem erhöhten Risiko aus. Gleichzeitig steigt die Erwartung an Unternehmen, ihre Informationen bestmöglich zu nutzen. Zu viele Unternehmen sind bisher noch der irrigen Annahme, die Risiken und den Nutzen der verfügbaren Informationen gut zu kennen. Obwohl diese Informationen ihr größtes Vermögen darstellen, bleiben sie erstaunlich passiv, wenn es um deren Schutz und produktive Nutzung geht. Aber ein Großteil der Kunden vertraut Unternehmen mittlerweile persönliche Informationen an. Unternehmen können es sich daher nicht leisten, das Thema Informationsmanagement und Informationssicherheit auf die leichte Schulter zu nehmen und dadurch das Vertrauen ihrer Kundenbasis nachhaltig aufs Spiel zu setzen.«

Was in Unternehmen oft fehlt, ist die Awareness für die Bedeutung der Informationen. Wie sollen Mitarbeiter damit umgehen? Welche Informationen sind wichtig? Oder gar geheim bzw. schützenswert oder sogar Verschlusssache? »Eine Klassifizierung würde hier schon mal vieles beheben«, meint Börgmann. Aber letztendlich würde das auch wieder in einem Fingerzeig auf die IT-Abteilung in Unternehmen enden nach dem Motto: »Die kennen sich aus – die sollen es machen.«

Königsklasse Dokumenten-Management-System

»Die Königsklasse wäre ein Dokumenten-Management-System (DMS)«, ist sich der PwC-Manager Fischer sicher. »Es kann den Lifecycle eines Dokuments überwachen.« Aber auch da ist sich Fischer sicher, dass ohne aktive Überwachung der Mitarbeiter durch das Managements, ob die Vorgaben auch umgesetzt werden, auch das beste DMS kaum funktionieren würde: »Aber ab einem gewissen Dateninformations-Niveau muss man sich damit auseinandersetzen.