Informationssicherheit

IT-Sicherheit nicht nur punktuell erledigen

11.01.2016
Von  und Jan Graßhoff
Sven Malte Sopha ist Senior Management Consultant bei Cassini Consulting am Standort Berlin.

Ebenfalls ist beobachtbar, dass Beschäftigte oft engagiert an der Steigerung des Sicherheitsniveaus mitwirken. Um dieses Potenzial jedoch vollständig zu nutzen, bedarf es deutlicher Unterstützung aus der Führungsebene, beispielsweise bei der Ressourcenbereitstellung. Nur so werden die Fachbereiche in die Lage versetzt, ihre Sicherheitsaufgaben erfüllen zu können.

Informationssicherheit für die gesamte Organisation

Die steigende Komplexität von Sicherheitsvorfällen zeigt, dass sich durch rein technische Maßnahmen kein geeignetes Sicherheitsniveau erreichen lässt. Echte Sicherheit von Informationen entsteht ausschließlich im Zusammenspiel von Menschen, Prozessen und Technologien. Eine übergreifende Informationssicherheit beschäftigt sich nicht ausschließlich mit der Technik.

Aus diesem Grund ist Informationssicherheit nicht allein Sache der IT-Abteilung, sondern eine Aufgabe für die gesamte Organisation, auch aller Fachabteilungen und Beschäftigten. Um die drei Grundwerte der Informationssicherheit - Vertraulichkeit, Integrität und Verfügbarkeit - sicherzustellen, bedarf es darum neben technischer Maßnahmen immer auch organisatorischer Rahmenbedingungen.

Sicherheit ist ein Führungsthema

Die Notwendigkeit, festgelegte Sicherheitsniveaus von Daten und Informationen einzuhalten, erzeugt Handlungsdruck auf die Führungsebene. Bekanntwerdende Sicherheitsvorfälle führen direkt zu Reputationsschäden und finanziellen Verlusten. In ganz extremen Fällen kommen auch strafrechtliche Konsequenzen in Betracht. Die Führungsebene ist gefragt, entsprechend zu handeln - nicht reaktiv, sondern proaktiv.

Auch weil Sicherheit nicht nur eine technische, sondern auch eine organisatorische Dimension hat, ist es ein Thema, das nur auf der Ebene des Top-Managements strategisch verantwortet werden kann - Informationssicherheit verlangt Führung. Es ist die Aufgabe der Führungsebene, Sicherheitsbewusstsein vorzuleben, für den notwendigen Rahmen zu sorgen, die entsprechenden Organisationsstrukturen zu schaffen und das Thema Sicherheit in der Organisation zu verankern. Effektive Informationssicherheit entsteht nur, wenn sie die Kultur der Organisation durchdringt, wenn sie gelebt wird - von allen Beschäftigten und allen Fachabteilungen.

Zur Startseite