von unserem Gastautor Hans-Günter Börgmann, Geschäftsführer der Iron Mountain Deutschland GmbH

[datensicherheit.de, 21.09.2017] Mehr noch als im privaten Bereich hat die digitale Transformation in der Wirtschaft hohe Erwartungen bei der Wertschöpfung geweckt, wie die gewinnbringende Nutzung von Informationen. Firmendokumente wie Verträge, Personalakten oder Kundendaten enthalten jedoch sensible Daten, die gesetzlichen Vorgaben wie Datenschutz-Regelungen oder Aufbewahrungsfristen unterliegen. Den wachsenden digitalen Dokumentenbergen, die verwaltet, sicher verwahrt und vernichtet werden müssen, steht in deutschen Unternehmen oft noch ein zu wenig ausgereiftes Informationsmanagement gegenüber, wie eine Studie von Iron Mountain [1] gezeigt hat. Angesichts der Herausforderungen aufgrund der gesetzlichen Neuregelungen durch die EU-Datenschutz-Grundverordnung (EU-DS-GVO), die ab Mai 2018 anwendbar wird, ist daher sofortiges Handeln angezeigt.

Mangelhafte Informationsmanagement-Prozesse bergen für Unternehmen erhebliche Risiken, wie etwa rechtliche Konsequenzen, die mit deutlichen Strafzahlungen verbunden sind, oder ein drohender Vertrauensverlust gegenüber den Kunden. Was aber können und müssen Unternehmen unabhängig von ihrer Größe tun, um mehr Kontrolle über ihre Informationsmanagement-Prozesse zu erlangen? Wie lassen sich Informationen im Unternehmen besser verwalten? Eine strategische Herangehensweise bildet die Voraussetzung, um erfolgreich Wert aus Information schöpfen zu können und den hohen Erwartungen an die Digitalisierung ein Stück näher zu kommen.

Informationsmanagement: Wunsch und Wirklichkeit

Tatsächlich sind die Herausforderungen, denen deutsche Unternehmen derzeit beim Informationsmanagement gegenüber stehen, groß. In 44 Prozent der befragten Unternehmen wird laut der Studie die diesbezügliche Praxis den geschäftlichen Anforderungen und denen der Kunden nicht oder nur teilweise gerecht. Drastisch gesagt: In nahezu jedem zweiten Unternehmen besteht in Sachen Informationsmanagement noch erheblicher Nachholbedarf. Das gilt umso mehr, weil jeder zweite leitende Angestellte (49 Prozent) beklagt, dass die sichere Verwaltung digitaler Informationen, also Speicherung, Analyse und Zugriff, in den vergangenen fünf Jahren schwieriger und komplexer geworden sei. Das Interessante ist: jeder Dritte (36 Prozent) vertritt diesbezüglich genau die gegenteilige Meinung.

Bild: Iron Mountain Deutschland GmbH

Studie: Informationsmanagement, Iron Mountain Deutschland

Diese Zahlen verdeutlichen die Schwierigkeiten, denen sich Unternehmen gegenübersehen, wenn es um die Implementierung oder Optimierung der Prozesse geht. Zudem versäumen es viele dabei, Richtlinien leicht umsetzbar und verständlich zu gestalten sowie ihre Mitarbeiter in puncto Informationsmanagement auf sinnvolle Weise einzubinden und vorzubereiten.

Nicht jede Branche ist sich dieser Defizite gleich stark bewusst. So gab etwa die Hälfte der Befragten aus Pharmazeutik (50 Prozent), verarbeitendem Gewerbe (48 Prozent) und Versorgungsbetrieben (45 Prozent) an, dass die aktuellen Informationsrichtlinien den geschäftlichen Anforderungen nur teilweise gerecht würden. Dagegen waren zwei von drei befragten Führungskräften, ganze 64 Prozent, aus den Bereichen Technik/Ingenieurswesen der Meinung, die Richtlinien erfüllten die Anforderungen bereits voll und ganz.

Mit Blick auf die digitale Informationsmanagement-Praxis ergab die Umfrage, dass in fast jedem dritten Unternehmen (29 Prozent) bislang noch gar keine digitalen Workflows definiert wurden. Fraglich bleibt hier, wie eventuell bestehende Mängel angegangen werden sollen, da ein Drittel der Unternehmen (33 Prozent) keine diesbezüglichen Veränderungen plant.

Auch wenn die Studie ergab, dass Papierdokumente insgesamt besser verwaltet werden, so zeigen sich doch auch hierbei Defizite: Denn in drei von zehn Unternehmen (29 Prozent) werden die Papierakten im Keller aufbewahrt, wo unter Umständen geschäftskritische Dokumente einem erhöhten Risiko bei Feuer und Feuchtigkeit ausgesetzt sind. Bei jedem dritten Unternehmen (32 Prozent) werden Papierakten nicht zentral gelagert, sondern sind auf verschiedene Orte im Geschäftsgebäude verteilt. Das bedeutet nicht nur ein höheres Verlustrisiko. Der erschwerte Zugriff verhindert damit im schlimmsten Falle auch die Einhaltung von rechtlichen Vorgaben zur fristgerechten und vollständigen Löschung sensibler Daten, wie sie die neue EU-Datenschutz-Grundverordnung vorsieht.

Compliance-gerechte Aufbewahrung: oft noch Fehlanzeige

Betrachtet man die Prozesse im Detail, ergibt sich also ein durchwachsenes Bild beim Informationsmanagement in deutschen Unternehmen. Tendenziell scheinen die Mängel bei der Verwaltung digitaler Dokumente etwas größer zu sein: Die Studie zeigte, dass neun von zehn Unternehmen (90 Prozent) einen festgelegten Zeitplan für die Aufbewahrung von Papierdokumenten haben; dagegen ist das bei digitalen Dokumenten nur in acht von zehn Unternehmen der Fall (82 Prozent). 7 Prozent aller Unternehmen haben gar keine Vorgaben für die Aufbewahrung von Papierdokumenten, und sogar doppelt so viele (14 Prozent) besitzen keine für die Aufbewahrung von digitalen Akten.

Mit der Anwendbarkeit der EU-Datenschutz-Grundverordnung (EU-DS-GVO) im Mai 2018 dürfte sich dieses Problem noch einmal zuspitzen. Die Studie ergab, dass fast jedes zweite Unternehmen (45 Prozent) aus diesem Anlass eine generelle Verschärfung der Bestimmungen erwartet. Dabei besteht vor allem bei der Einhaltung der Aufbewahrungsfristen von Dokumenten noch Luft nach oben. Derzeit sind sich 23 Prozent nicht sicher, ob die Beseitigung von Papierdokumenten den Unternehmensvorgaben entspricht, bei digitalen Dokumenten sind es sogar 29 Prozent. 11 Prozent der befragten Unternehmen haben sich noch keine Gedanken zu dem Thema EU-DS-GVO gemacht. Weitere 11 Prozent sehen sich schlicht nicht in der Lage, die Folgen für die Informationsmanagement-Strategie zu beurteilen. Dies legt nahe, dass sich die Mitarbeiter der Auswirkungen bei einer Nichteinhaltung der Vorgaben gar nicht bewusst sind. Dabei sollten allein die drohenden Sanktionen Motivationshilfe genug sein, hier rasch Abhilfe zu schaffen: Bis zu vier Prozent des Gesamtumsatzes eines Unternehmen kann die Verletzung der EU-Datenschutz-Grundverordnung zukünftig kosten.

Bild: Iron Mountain Deutschland GmbH

Die Studie zeichnet ein klares Bild: Die Zielsetzung dank digitaler Transformation mehr Wert aus den im Unternehmen vorhandenen Daten schöpfen zu können, wird derzeit bei einem viel zu großen Teil der deutschen Unternehmen aufgrund ihres mangelhaften Informationsmanagement noch verfehlt. So sehr dieser potenzielle Mehrwert in den Köpfen der Führungskräfte verankert sein mag, so sehr mangelt es noch an strategischen Prozessen, die in der Unternehmenskultur festgeschrieben sind.

Der Weg zum Ziel – Anforderungen und Prozesse definieren, zudem: Bewusstsein fördern

Eine aktive Beschäftigung mit dem Thema Informationsmanagement ist spätestens jetzt für jedes Unternehmen überlebensnotwendig. Am Beginn steht dabei die Kenntnis der jeweils aktuellen rechtlichen Grundlagen. Der Datenschutzbeauftragte scheint für diese Funktion die ideale Position in der Unternehmensorganisation zu sein. Doch bei 13 Prozent der deutschen Unternehmen gibt es hier statt eines kompetenten Ansprechpartners leider noch eine klaffende Lücke in den Organigrammen, die es zu füllen gilt.

Um ein rechtskonformes und konsistentes Informationsmanagement zu etablieren, das sich an den jeweiligen Geschäftsanforderungen ausrichtet, können Unternehmen, denen es an entsprechenden Ressourcen mangelt, auf externe Dienstleister zurückgreifen. Die Formulierung rechtskonformer, leicht verständlicher und einhaltbarer Richtlinien ist die Voraussetzung dafür, dass sich Informationsmanagement-Prozesse einfach in die Unternehmensroutinen integrieren lassen.

Falls noch nicht geschehen, sollten alle Mitarbeiter eine entsprechende Schulung zum Informationsmanagement im Unternehmen erhalten: Angefangen beim grundlegenden Verständnis der rechtlich Vorgaben, z.B. Löschfristen, bis hin zur praktischen Umsetzung wie dem Sperren des Computerbildschirms in Abwesenheit und der regelmäßigen Änderung von Passwörtern.

Der Umgang mit Informationen sollte regelmäßig Thema im Unternehmen sein, damit sich alle Mitarbeiter über die für sie relevanten Änderungen auf dem Laufenden halten können und den Mitarbeitern der Wert von Informationen bewusst bleibt. Insbesondere Führungskräfte sind bei diesem Thema gefordert, mit gutem Beispiel voran zu gehen und ein verbindliches, Compliance-gerechtes Verhalten vorzuleben.

Unternehmen sollten die Digitalisierung als Chance begreifen und rechtzeitig eine Best-Practice-Kultur beim Informationsmanagement etablieren: Schlüsselqualifikationen für ein erfolgreiches Informationsmanagement bilden dabei die Erfüllung der Anforderungen, die Vereinfachung von Prozessen, die Erhöhung von Mitarbeiter-Kenntnissen diesbezüglich und die Förderung der entsprechenden Unternehmenskultur. So können Informationen rechtssicher verwaltet und angesichts der Digitalisierung Wert aus Ihnen geschöpft werden.

Weitere Informationen zum Thema:

[1] Die Umfrage wurde im Auftrag von Iron Mountain von Arlington Research durchgeführt. Dabei wurden insgesamt 512 leitende Angestellte in Unternehmen mit einer Mitarbeiterzahl von 250 bis mehr als 2000 Angestellten in Deutschland befragt. Die Teilnehmer stammten aus den Bereichen Rechtswesen, Finanzwesen, Versicherung, Pharmazeutik, verarbeitendes Gewerbe, Versorgungsbetriebe und Technik/Ingenieurwesen mit führenden Positionen in IT, Einkauf, Verkauf, HR, Finanzen sowie Datenschutzbeauftragten. Die Umfrage basiert auf Online-Interviews, die im Oktober 2016 durchgeführt wurden. Eine umfassende Zusammenfassung der Forschungsergebnisse findet sich unter: http://www.ironmountain.de/informationsmanagement-studie

[datensicherheit.de, 12.05.2014] Immer mehr Mitarbeiter nutzen heute eine Vielfalt sowohl unternehmenseigener und als auch privater mobiler Endgeräte für den Zugriff auf kritische Applikationen und Daten. Dell benennt sechs Maßnahmen, die mehr Sicherheit bei der Arbeit mit mobilen Endgeräten gewährleisten.

Der Trend zum mobilen Arbeiten ist ungebrochen. Für die IT bedeutet dies eine doppelte Herausforderung:

• Einerseits fordern Mitarbeiter aus den Fachabteilungen die Unterstützung ihrer privaten mobilen Endgeräte, damit sie immer und überall kreativ arbeiten können.
• Andererseits ist die IT bestrebt, die Gerätevielfalt und Heterogenität so weit wie möglich einzudämmen, da dies die Festlegung, Umsetzung und Kontrolle unternehmensweit geltender IT-Sicherheitsvorschriften vereinfacht.

Für diese Herausforderung ist eine integrierte Lösungsstrategie erforderlich, die sowohl den Erfordernissen einer umfassenden IT-Sicherheitsstrategie als auch den Erwartungen der mobilen Mitarbeiter gerecht wird, die nicht auf den gewohnten Komfort und die Flexibilität verzichten wollen. Bei der Umsetzung einer integrierten Lösungsstrategie für eine höhere IT-Sicherheit sollten sich Unternehmen an sechs Best Practices orientieren.

1. Alle mobilen Endgeräte mit Passwörtern schützen
   Zunächst einmal müssen Unternehmen technische Vorkehrungen treffen, damit die Passworteingabe beim Einsatz mobiler Endgeräte verpflichtend ist. So errichten sie eine wirksame erste Verteidigungslinie für den Fall, dass Geräte verloren gehen oder gestohlen werden. Ergänzt um Funktionen zum Löschen von Daten aus der Ferne und zur Sperrung gehackter Devices erzielen Unternehmen damit bereits einen guten Schutz kritischer Daten, die auf mobilen Endgeräten vorhanden sind.
2. Anwender schulen und für IT-Sicherheit sensibilisieren
   Unternehmen sollten ihre Mitarbeiter in Schulungen darauf hinweisen, dass sie bestimmte Aktivitäten auf jeden Fall vermeiden, um nicht Opfer von Hackern und Datendieben zu werden. Dazu gehört beispielsweise, auf keinen Fall ein öffentliches WLAN ohne VPN-Verbindung zu nutzen und keine Links und angehängten Dateien jeder Art in Mails von Unbekannten zu öffnen.
3. Aktualität der Betriebssysteme auf mobilen Endgeräten sicherstellen
   Alle Hersteller von Betriebssystemen für mobile Endgeräte schließen permanent neu bekannt gewordene Sicherheitslücken. Konsequenterweise müssen IT-Abteilungen sicherstellen, dass die für Unternehmenszwecke genutzten Endgeräte immer mit der neuesten Betriebssystemversion arbeiten – egal ob es sich um Notebooks, Smartphones oder Tablets handelt.
4. Daten auf mobilen Endgeräten grundsätzlich verschlüsseln
   Zusätzlich zu einem Passwortschutz müssen alle Daten auf den mobilen Endgeräten grundsätzlich verschlüsselt sein. Das erhöht die Sicherheit bei Diebstahl und Verlust, denn im ungünstigsten Fall kann ein unsicheres Passwort leicht geknackt werden. Die Verschlüsselung der Daten sorgt so für einen unbedingt notwendigen Schutz, der in vielen Unternehmen noch immer vernachlässigt wird, ohne den aber eine wirksame IT-Sicherheit Stückwerk bleibt.
5. Zugriffs- und Identitätsmanagement implementieren
   Eine wichtige Rolle in einem ganzheitlichen Sicherheitskonzept spielt das Identity and Access Management (IAM), mit dem Administratoren den Zugriff auf Unternehmenssysteme und -daten steuern und überwachen. Bei der Auswahl einer Lösung sollten sich Unternehmen für eine vollständig integrierte IAM-Applikation entscheiden, die Identity Governance, Privileged Account Management und Access Management einschließlich der Unterstützung von Single-Sign-On-Verfahren bietet.
6. Einen Sicherheits-Container einrichten
   Nutzen Mitarbeiter mobile Endgeräte auch für private Zwecke oder verwenden sie ihre privaten Endgeräte für berufliche Zwecke, muss mit Hilfe von Sicherheits-Containern eine Trennung privater und Unternehmensdaten auf den mobilen Endgeräten sichergestellt werden. In dem einen Sicherheits-Container sind dann ausschließlich die unternehmensbezogenen Applikationen und Daten zugänglich und im anderen die privaten.

„IT-Sicherheit ist mehr als die Summe von Einzelmaßnahmen. In Anbetracht ständig neuer Sicherheitsrisiken müssen Unternehmen eine ganzheitliche Sicht einnehmen. Sicherheit wird dabei zu einem integralen Bestandteil des Enterprise-Mobility-Managements“, erläutert Sven Janssen, Regional Sales Manager bei Dell, SonicWALL Products. „Die sechs Best Practices schaffen die Grundlage dafür, dass der Einsatz mobiler Endgeräte nicht zum unkalkulierbaren Risiko für Unternehmen wird, sondern zu einem echten Produktivitätsfaktor.“

Weitere Informationen zum Thema:

datensicherheit.de, 07.05.2014
M-Days 2014: Chancen und Risiken mobiler Business-IKT

datensicherheit.de, 09.04.2014
Ausgaben für IT-Sicherheit steigen weiter