HP Business Value Exchange


- Anzeige -

Einmal ist keinmal

Regelmäßige IT-Security Assessments sorgen für Compliance-Konformität

23. April 2015
Von Sabine Koll
Trotz ISO 27001 steigt die Zahl der erfolgreichen Hackerangriffe. Peter Maucher, Berater bei HP Enterprise Security Services, plädiert für regelmäßige IT-Security Audits als Qualitätssicherungsmaßnahme.

Jedes Unternehmen in Deutschland wird im Schnitt 1,3 Mal pro Woche Ziel eines erfolgreichen Hackerangriffs, Tendenz steigend. Die Kosten dafür beliefen sich 2013 auf durchschnittlich 5,6 Millionen Euro im Jahr. Gegenüber dem Vorjahr entsprach dies einer Zunahme um 16 Prozent.

Diese erschreckenden Zahlen stammen aus der Studie "2013 Cost of Cyber Crime" des Ponemon Institute, an der 47 vorwiegend große Unternehmen in Deutschland teilgenommen haben. Dabei sind alle Branchen von Cyber-Verbrechen betroffen - wenn auch zu unterschiedlichen Ausmaßen: Organisationen im Energie- und Versorgungsbereich sowie Finanzdienstleistung und Technologie sind mit höheren Kosten konfrontiert als Unternehmen in den Bereichen Handel, Medien und Consumer-Produkte.

Dabei haben gerade Unternehmen in regulierten Märkten in den vergangenen Jahren große Anstrengungen im Hinblick auf da Thema Informationssicherheit unternommen. Sie haben organisatorische Regelungen aufgestellt, haben teilweise Information Security Management Systeme (ISMS) aufgebaut, sich nach ISO/IEC 27001 zertifizieren lassen.

"Demnach sollte man annehmen, dass das Thema IT-Sicherheit in den Unternehmen gut funktioniert. Doch die Realität sieht leider anders aus", sagt Peter Maucher, Experte bei HP Enterprise Security Services. Er kennt die Gründe dafür: "Die Richtlinien sind schriftlich festgelegt, doch werden sie oft nicht wie gewünscht umgesetzt in den Unternehmen. Es fehlt den Mitarbeitern am entsprechenden Bewusstsein und der richtigen Ausbildung. Ein einmaliges Audit bringt hier keine nachhaltigen Ergebnisse."

Maucher empfiehlt daher regelmäßige, ja kontinuierliche Überprüfungen dahingehend, ob die Kontrollziele für IT-Sicherheit eingehalten werden.

"Es handelt sich nicht um ein klassisches Audit mit einem Zertifizierungsnachweis am Ende, wie es traditionell ein Zertifizierer durchführt. Vielmehr geht es um ein internes Qualitätsmanagement für das Thema IT-Sicherheit beziehungsweise um ein Sicherheits-Assessment, in dessen Fokus der Status quo der individuellen Kontrollziele einer Organisation stehen. Es sollte einfach regelmäßig geprüft werden, ob die aufgestellten Regeln und Vorgaben von den Mitarbeitern richtig verstanden und angewendet werden", erklärt Maucher.

Steigendes Bewusstsein der Mitarbeiter für IT-Security

Er vergleicht dies mit der regelmäßigen Wartung eines PKW: "Wer ein neues Auto kauft, ist froh darüber, dass es über alle möglichen Sicherheitssysteme verfügt, die ihm im Fall eines Unfalls das Leben retten. Doch wenn das Fahrzeug ein paar Jahre alt ist, weiß man ohne Wartung gar nicht, ob ABS oder Airbag überhaupt noch richtig funktionieren.

Durch die Pflicht zur Hauptuntersuchung tendieren die meisten Autobesitzer zur regelmäßigen Wartung ihrer Fahrzeuge. Einen ähnlichen Effekt haben regelmäßige Security Selbst-Assessments: Die Mitarbeiter bekommen die notwendige Awareness für die Kontrollziele.

Motivation ist somit ein wesentliches Ziel. "Wenn man es richtig angeht, kann ein Unternehmen aber in vielerlei Hinsicht von IT-Security Audits profitieren", ist Maucher überzeugt. So erhält das Management Informationen über den Grad der Umsetzung von Regelungen.

Daraus lässt sich ableiten, ob die Organisation Compliance-konform arbeitet. Auch sollte überprüft werden, ob die Regelungen überhaupt angemessen sind. "Manchmal halten Mitarbeiter Verfahrensregeln deshalb nicht ein, weil sie einfach nicht praktikabel sind", weiß Maucher aus der Praxis. "Hier ist es dann Aufgabe des Prüfers, dies deutlich zu machen, so dass die Regel entsprechend angepasst wird, um Kotrollziel und Geschäftsprozess-Bedarf gleichermaßen zu erfüllen."

Kommentare zum Artikel

comments powered by Disqus
Zur Startseite