Warum IT-Sicherheit scheitert

Die Informationssicherheit ist in Unternehmen mit den Mitteln der klassischen IT-Sicherheit allein nicht mehr zu gewährleisten. Diese Einsicht ist bei den CIOs und Sicherheitsbeauftragten angekommen. Aktuelle Spyware-Attacken wie "Flame" zeigen, dass Spähsoftware der neusten Kategorie verstärkt von der IT- in die reale Welt übergreift.

Malware dieser Sorte zapft beispielsweise die im Rechner eingebauten Mikrofone und Webcams an und verschafft dem Angreifer damit Zugang zu Informationen, die über die Computer-Sphäre hinausgehen. IT-Risiken werden zum Unternehmensrisiko. Es braucht ein Gesamtpaket an technischen, organisatorischen und personellen Maßnahmen, um den ungewollten Abfluss geschäftskritischer Informationen zu verhindern.

"Bisher lief doch auch alles glatt"

Auf Geschäftsleitungsebene wird Informationssicherheit vielfach immer noch mit IT-Sicherheit gleichgesetzt, deren Planung und Umsetzung alleinige Angelegenheit der IT-Experten ist. Der Zusammenhang zwischen IT-Sicherheit und dem Geschäftserfolg wird allenfalls im Sinne von Verfügbarkeit von IT-Anwendungen und der Einhaltung von Datenschutzbestimmungen gesehen. Die Aspekte Vertraulichkeit und Integrität von Informationen sowie Information als Unternehmenswert, werden in der Praxis dagegen häufig nicht betrachtet.

Beim Versuch, einen Business Case zur Einführung eines ISMS aufzustellen, indem man die Kosten in Relation zu möglichen materiellen Einbußen und Imageschäden setzt, lautet die Antwort immer wieder: "Bisher lief doch auch alles glatt" und "Wir hatten in den letzten Jahren überhaupt keine relevanten Sicherheitsvorfälle." Was noch nicht verstanden wird: In den allerwenigsten Fällen von Datenspionage erscheint der Hinweis "Sie wurden gehackt!". Diesen Umstand erfahren die Unternehmen oft erst über die MedienMedien. Top-Firmen der Branche Medien