ISO 27001 erhöht Informationssicherheit bei 81 % der zertifizierten Unternehmen
Hackerangriffe auf Unternehmen, der Verlust sensibler Daten oder Missbrauch von vertraulichen Informationen – all diese Themen haben eines gemeinsam: Wir hören medial nur dann davon, wenn vieles zu spät ist und kapitale Sicherheitslücken von Cyberkriminellen bereits genutzt wurden. Die Aufrechterhaltung der Informationssicherheit gehört zu einer der größten Herausforderungen heimischer Unternehmen. Das kommende NIS-2 Gesetz erhöht diese Anforderung zusätzlich mit seiner gesetzlichen Verankerung von Strafen für Unternehmen und deren Leitorgane. Eine Umfrage unter 200 Personen verschiedener Branchen und Unternehmensgrößen in Österreich hat nun erstmals abgefragt, inwiefern der internationale Standard für Informationssicherheits-Managementsysteme (ISO/IEC 27001) bei der Bewältigung dieser Probleme in der Praxis unterstützt. Das Ergebnis: Rund 81 % der zertifizierten Unternehmen gaben an, dass sich durch die ISO/IEC 27001 die Informationssicherheit in ihrem Unternehmen konkret erhöht hat.
CIS - Certification & Information Security Services GmbH präsentiert erstmals einen Statusbericht, der auf einer eigens durchgeführten Umfrage basiert. Rund 200 mehrheitlich österreichische Unternehmen wurden über Entscheidungskriterien, Kosten-Nutzen-Abwägung und die Effekte der Implementierung der ISO/IEC 27001 – des einzigen international anerkannten Standards für Informationssicherheit – befragt.
Das Ergebnis der Umfrage fiel äußerst positiv aus: 81 % der zertifizierten Unternehmen gaben, an, dass sich durch die Implementierung der ISO/IEC 27001 die Informationssicherheit in ihrem Unternehmen erhöht hat, 68 % attestierten zusätzlich, dass die ISO/IEC 27001 zu einer Risikominimierung im jeweiligen Unternehmen geführt habe. Auf die Frage, wie sich die Implementierung des ISO/IEC 27001 Standards auf die Sicherheitsvorfälle im Unternehmen ausgewirkt hat, gab mehr als ein Drittel (35 %) der Befragten an, dass es zu einer deutlichen Beschleunigung bei der Identifizierung von Sicherheitsvorfällen und bei der Behebung des Problems kam. Weitere 43 % stellten eine leichte Beschleunigung bei Identifizierung und Behebung von Missständen fest. „Daraus wird ersichtlich, dass die Einführung des ISO/IEC 27001 Standards in Unternehmen aller Branchen den Umgang mit Datensicherheit erhöht und Risikobereiche und Sicherheitslücken schneller erkannt und behoben werden können – eben bevor es zur Katastrophe kommt“, so Harald Erkinger, Geschäftsführer der CIS, über die Ergebnisse. „Die Umfrage zeigt auch, dass der generierte Mehrwert den benötigten Aufwand und Investitionskosten übersteigt“, betont Erkinger.
Für 93 % der zertifizierten Unternehmen überwiegt der Nutzen die Kosten
Implementierungen von internationalen Standards gehen bekanntermaßen mit Zeit- und Kostenaufwand einher. Der Statusreport identifiziert vor allem Zeit- und Dokumentationsaufwand als größte Ressourcenfresser. Das Resultat fällt aber zufriedenstellend aus, denn 93 % der Befragten, deren Unternehmen ISO/IEC 27001 zertifiziert sind, gaben an, dass der Nutzen und die Vorteile gegenüber den Kosten und dem Aufwand der Implementierung überwiegen. 61 % Prozent der Befragten waren sogar der Meinung, dass der Nutzen und die Vorteile deutlich überwiegen. „Das ist insofern bemerkenswert, als dass der Großteil der Unternehmen (60 %) angab, zwischen 6 und 12 Monaten für die Implementierung der ISO/IEC 27001 zu benötigen. Es ist also zu Beginn durchaus eine Zeitinvestition einzuplanen, die sich jedoch durch die Effekte der Zertifizierung vollkommen nivelliert“, so Erkinger über die Bedeutung der Ergebnisse.
Die ISO/IEC 27001 spielt demzufolge für Unternehmen eine praxisrelevante Rolle beim Schutz sensibler Daten und unterstützt die Sicherstellung der Informationssicherheit in Unternehmen und Organisationen.
„In einer zunehmend digitalen Welt, in der Bedrohungen durch Cyberangriffe und Datenschutzverletzungen immer häufiger werden, kann die Ausrichtung der IT und Informationssicherheit der Unternehmen nach dieser Norm in vielen Fällen einen signifikanten Mehrwert generieren. So gaben zum Beispiel mehr als 82 % der Befragten an, dass der ISO/IEC 27001 Standard für die allgemeine Wettbewerbsfähigkeit ihres Unternehmens als ‚hoch‘* einzustufen sei“, so der CIS Geschäftsführer.
72 % schaffen Zertifizierung ohne oder mit lediglich pointierter Beratung von außen
Obwohl die zertifizierten Unternehmen angaben, den Zeitaufwand (88 %) und den Dokumentationsaufwand (86 %) als Herausforderung bei der Implementierung zu erachten, absolvierte dennoch mehr als ein Drittel (37 %) der Unternehmen die Implementierung ohne externe Hilfe. Weitere 35 % haben nur punktuelle Unterstützung im Zertifizierungsprozess in Anspruch genommen und nur 28 % gaben an, dass externe Berater bei der Zertifizierung „stark eingebunden“ waren.
*Die Bewertung „hoch“ erfolgte mit 7 oder höher auf einer 10-teiligen Skala.