Unternehmen und Institutionen aus dem Life Science- und Gesundheitssegment stellen mehr und mehr die Datensicherheit ins Zentrum ihrer Bemühungen. Dabei verfügen insbesondere europäische Anbieter über eine formal festgelegte, dokumentierte Sicherheitsstrategie. Im Unterschied zu anderen Playern aus aller Welt sorgen sie sich dabei eher vor externen als internen Sicherheitsrisiken – obwohl auch hier menschliches Versagen zu den drei meistgefürchteten zählt. Große Sorgen machen fast allen Verantwortlichen die Budgets: Sie wachsen deutlich langsamer als die Bedrohungen. Das zeigt die Deloitte-Studie „The time is now – 2009 Life Sciences & Health Care Security Study“, die den Branchen-Status-quo in puncto IT-Sicherheit analysiert. Dazu wurden weltweit die relevanten Hersteller, Dienstleister und Organisationen aus dem Life-Science- und Gesundheitssektor befragt.

„Wichtigstes Kapital von Unternehmen aus dem Life-Science- und Gesundheitsbereich sind Informationen wie Patientendaten, Forschungs- und Geschäftsergebnisse – diese sind adäquat zu schützen. Doch gerade in Zeiten knapper Kassen müssen die Verantwortlichen eine optimale Balance zwischen Kosteneffizienz und Sicherheit finden“, erklärt Dr. Carsten Schinschel, Partner ERS von Deloitte.

Chief Information Security Officer (CISO) immer wichtiger
Bei den untersuchten Unternehmen (Life Science, Gesundheitswesen und Krankenkassen) hat die Bedeutung des CISO (Chief Information Security Officer) über die letzten Jahre erheblich zugenommen – jedoch in unterschiedlichem Ausmaß: Bei den Life-Science-Unternehmen verfügt mehr als die Hälfte über einen CISO, bei den Gesundheitsanbietern sind es gute 70 Prozent, bei den Krankenkassen hingegen nur 40 Prozent. Charakteristisch für alle ist die kaum vorhandene Konvergenz von physischen und technologischen Sicherheitskonzepten.

Schäden vor allem bei den Gesundheitsanbietern
Bei den Life-Science-Unternehmen fließen die meisten Mittel in Infrastruktur und den Beratungsbereich – nur 30 Prozent verfügen dabei über ein eigenes IT-Sicherheitsbudget, gerade einmal 12 Prozent können ein voll entwickeltes Datenschutzprogramm vorweisen. 60 Prozent der Gesundheitsanbieter haben ein allgemeingültiges Rahmenkonzept für Informationssicherheit, denn mehr als in den anderen Segmenten mussten diese Unternehmen in der Vergangenheit Sicherheitsvorfälle mit Schäden in Millionenhöhe hinnehmen. Die Krankenkassen sehen als bedeutendste Herausforderung die Verbindung von Informationssicherheit mit geschäftlichen Belangen. Darüber hinaus liegt bei nahezu allen Befragten ein Schwergewicht auf der Compliance.

Angst vor Mitarbeiterversagen und zu knappen Budgets
Spartenübergreifend fürchten sich die Unternehmen und Institute am stärksten vor Datenverlust – vor allem infolge menschlichen Versagens. Entsprechende Sicherheitstechnologien sind bislang jedoch nur teilweise implementiert. Auch das Engagement externer Partner (Outsourcing) insbesondere im Life-Science-Segment stellt aus Sicht der Betroffenen ein erhebliches Risiko dar. Alarmierend ist die Tatsache, dass die finanzielle Ausstattung den steigenden Gefahren immer weniger gerecht wird.

„Laut unserer Erhebung fürchten die Betroffenen die größten Gefahren von innen – seitens ihrer Mitarbeiter, die unabsichtlich oder vorsätzlich die Datensicherheit gefährden. Europa ist die Ausnahme. Hier scheint die Angst vor externer Bedrohung zu überwiegen. Bemerkenswert: Viele europäische Unternehmen verfügen über eine dokumentierte Informationssicherheitsstrategie, jedoch ist diese seltener in ein allgemeines, übergreifendes Sicherheitskonzept eingebunden“, ergänzt Dr. Carsten Schinschel.

Den kompletten Report finden Sie hier zum Download.