6 Wege, das Management zu überzeugen

Warum IT-Sicherheit scheitert

20. Juni 2012
Von Marco Filtzinger
Ohne aktive Unterstützung Managements und Mitarbeit der Fachbereiche scheitert die Einführung von Informationssicherheits-Managementsystemen. Marco Filtzinger von Steria Mummert erläutert in seiner Kolumne, warum ein Chefmandat zwingend erforderlich ist.
Marco Filtzinger ist Berater bei Steria Mummert Consulting.
Marco Filtzinger ist Berater bei Steria Mummert Consulting.
Foto: Steria Mummert Consulting

Die Informationssicherheit ist in Unternehmen mit den Mitteln der klassischen IT-Sicherheit allein nicht mehr zu gewährleisten. Diese Einsicht ist bei den CIOs und Sicherheitsbeauftragten angekommen. Aktuelle Spyware-Attacken wie "Flame" zeigen, dass Spähsoftware der neusten Kategorie verstärkt von der IT- in die reale Welt übergreift.

Malware dieser Sorte zapft beispielsweise die im Rechner eingebauten Mikrofone und Webcams an und verschafft dem Angreifer damit Zugang zu Informationen, die über die Computer-Sphäre hinausgehen. IT-Risiken werden zum Unternehmensrisiko. Es braucht ein Gesamtpaket an technischen, organisatorischen und personellen Maßnahmen, um den ungewollten Abfluss geschäftskritischer Informationen zu verhindern.

"Bisher lief doch auch alles glatt"

Auf Geschäftsleitungsebene wird Informationssicherheit vielfach immer noch mit IT-Sicherheit gleichgesetzt, deren Planung und Umsetzung alleinige Angelegenheit der IT-Experten ist. Der Zusammenhang zwischen IT-Sicherheit und dem Geschäftserfolg wird allenfalls im Sinne von Verfügbarkeit von IT-Anwendungen und der Einhaltung von Datenschutzbestimmungen gesehen. Die Aspekte Vertraulichkeit und Integrität von Informationen sowie Information als Unternehmenswert, werden in der Praxis dagegen häufig nicht betrachtet.

Beim Versuch, einen Business Case zur Einführung eines ISMS aufzustellen, indem man die Kosten in Relation zu möglichen materiellen Einbußen und Imageschäden setzt, lautet die Antwort immer wieder: "Bisher lief doch auch alles glatt" und "Wir hatten in den letzten Jahren überhaupt keine relevanten Sicherheitsvorfälle." Was noch nicht verstanden wird: In den allerwenigsten Fällen von Datenspionage erscheint der Hinweis "Sie wurden gehackt!". Diesen Umstand erfahren die Unternehmen oft erst über die MedienMedien. Top-Firmen der Branche Medien