Informationssicherheit

IT-Sicherheit nicht nur punktuell erledigen

11. Januar 2016
Sven Malte Sopha ist Senior Consultant bei Cassini Consulting am Standort Berlin. Er berät vorwiegend zu den Schwerpunkten Management- und Organisationberatung im Public Sector. Für den nach IPMA zertifizierten Projektmanager zählt die Programm- und Projektsteuerung von (IT-)Projekten ebenso zum täglichen Geschäft wie auch der Datenschutz und die Informationssicherheit. Zentrale Aspekte im Bereich der Sicherheit sind der Aufbau von Managementsystemen nach ISO 27001 wie auch die Umsetzung des IT-Grundschutzes.
IT-Sicherheit ist schon lange kein Randthema mehr, auch geht es um mehr als die "bloße" Abwehr von Wirtschaftskriminalität. Die Angriffsszenarien werden komplexer. Eine Einordnung.
Welchen Grad an Informationssicherheit eine Organisation erreicht, ist letztlich eine Frage ihrer Kultur und aller Beschäftigten: Sicherheit muss (vor-)gelebt werden.
Welchen Grad an Informationssicherheit eine Organisation erreicht, ist letztlich eine Frage ihrer Kultur und aller Beschäftigten: Sicherheit muss (vor-)gelebt werden.
Foto: Pepsco Studio - www.shutterstock.com

Nicht nur Großkonzerne wie Sony und TV5Monde, sondern auch staatliche Institutionen wie der Bundestag stehen im Visier der Angreifer. Nur die wenigsten Angriffe werden öffentlich bekannt. Wie wichtig dieses Thema für uns persönlich ist, wird uns jedoch erst bewusst, wenn wir direkt betroffen sind und beispielsweise die Kreditkartendaten gestohlen wurden oder die Beantragung des Personalausweises nicht mehr geht.

Die Digitalisierung hat inzwischen in nahezu alle Lebensbereiche Einzug gehalten - mit allen Vorteilen, aber auch Gefahren. Unternehmen sowie Politik und öffentliche Verwaltung haben die sich ändernde Bedrohungslage erkannt. Neben gesetzlichen Regelungen existieren teilweise auch branchenspezifische Regelungen, um das Thema Sicherheit strukturiert anzugehen und damit das Sicherheitsniveau weiter zu verbessern. Rein technische Mittel reichen zur Abwehr aber nicht mehr aus.

ComplianceCompliance ist auch in Sachen Informationssicherheit eine wichtige Anforderung geworden. So kann von außen auf Organisationen eingewirkt werden, eigene Daten und die der Kunden besser zu schützen. Werden Vorschriften und Sicherheitsziele nicht eingehalten, können finanzielle Schäden ebenso die Folge sein wie eine Gefährdung der öffentlichen Sicherheit oder eine negative Außenwirkung mit möglicherweise existenzbedrohenden Konsequenzen. Alles zu Compliance auf CIO.de

So oder so: Für alle Organisationen ist es unerlässlich, nicht nur die Regularien und gesetzlichen Bestimmungen im Bereich Informationssicherheit formal einzuhalten, sondern Sicherheit und Prozesse auch wirklich operativ zu leben. Wenn die Erfahrung aus der Praxis allerdings eines lehrt, dann dies: Sicherheit kann nicht von einer einzelnen Abteilung nebenher bzw. punktuell erledigt werden - tatsächlich ist Informationssicherheit ein Thema für die gesamte Organisation, zu jeder Zeit. Diese Herausforderungen gelten gleichermaßen für Organisationen aller Branchen und aller Größen und umfassen private Unternehmen genauso wie die öffentliche Verwaltung.

IT-Sicherheit allein greift zu kurz

Die Erfahrung aus zahlreichen Projekten zeigt, dass in vielen Unternehmen und Behörden das Thema Sicherheit derzeit noch als bloße IT-Sicherheit verstanden wird. Entsprechend ist mit dem Thema oft nur ein CISO oder IT-Sicherheitsbeauftragter und gegebenenfalls die IT-Abteilung befasst. Sicherheit ist dann - der Rolle und Perspektive der technisch ausgerichteten Abteilung gemäß - auf ihre technische Dimension reduziert. Organisatorische Aspekte und Maßnahmen geraten selten in den Blick. Eine gesamtheitliche Betrachtung des Themas Sicherheit findet in der Regel nicht statt.

Zur Startseite