IT-Security

Werkzeug für das Sicherheitsmanagement

04. November 2008
Oliver Häußler arbeitet als freier Journalist und Moderator in der IT- und Telekommunikationsbranche. Seine journalistischen, wirtschaftlichen und technischen Erfahrungen sammelte der Kommunikationswissenschaftler während seiner über 20 Jahre langen Tätigkeit als Chefredakteur von renommierten Fachzeitschriften wie der Funkschau, FunkschauHandel, NetworkWorld und als Moderator von Kongressen, Webcasts und zahlreichen Podiumsdiskussionen.
Viele Unternehmen vernachlässigen das IT-Thema Sicherheit oder betreiben es nicht nachhaltig. Dadurch riskieren die Verantwortlichen nicht nur Schäden an den IT-Systemen, sie gefährden das ganze Unternehmen. Sicherheitsexperten raten dringend zur Einführung prozessorientierter Sicherheitsmanagement-Systeme, die auch die Vielzahl gesetzlicher Vorschriften berücksichtigen. Zur besseren Planung und Einführung helfen etablierte Methoden und Rahmenwerke.
Derk Fischer: "IT-Sicherheit hilft, die Wertschöpfung abzusichern".
Derk Fischer: "IT-Sicherheit hilft, die Wertschöpfung abzusichern".

"IT-Sicherheit ist nach wie vor ein Stiefkind in den Unternehmen", sagt Derk Fischer, Partner bei der PricewaterhouseCoopers AGPricewaterhouseCoopers AG Wirtschaftsprüfungsgesellschaft, Düsseldorf. Den Grund sieht er darin, dass die Verantwortlichen die Bedeutung von IT-Sicherheit für den Unternehmenserfolg häufig falsch einschätzen, weil sie aus deren Sicht keinen Anteil zur Wertschöpfung beitrage. Dies sei falsch, denn "IT-Sicherheit hilft, die Wertschöpfung abzusichern".



Die Folge: Unternehmen investieren in Sicherheit nur punktuell, wo die Gefahren offensichtlich sind oder wenn entsprechend Druck aufgebaut wird - was häufig erst nach einem entstandenen Schaden erfolgt. "Investitionen werden dort getätigt, wo Risiken transparent sind und unterlassen, wo Risiken schwer greifbar sind", kritisiert Fischer. In den meisten Fällen fehle eine begründete Risikoeinschätzung, auf deren Basis Investitionsentscheidungen getroffen werden können - und die IT-Sicherheit wird ganz einfach als "technisches Problem" an die IT-Abteilung delegiert. Top-500-Firmenprofil für PricewaterhouseCoopers AG

IT-Sicherheit ist Chefsache

Die Verantwortung für die IT-Sicherheit liegt aber eindeutig bei der Unternehmensleitung. „IT-Sicherheit ist Chefsache“, sagt Dr. Nikolaus Forgo, Professor an der Universität Hannover und Mitglied des Advisory Boards bei der europäischen Sicherheitsorganisation EICAR. Denn der Gesetzgeber verlange von der Unternehmensleitung, dass sie ein „angemessenes IT-Sicherheitsniveau“ garantiere. Nun streiten Juristen zwar über die Auslegung dieser Begrifflichkeit und deren Tragweite. Allerdings ändert das nichts daran, dass die Verantwortung von der Rechtsseite her eindeutig beim Management angesiedelt ist.
Wer als IT-Mitarbeiter jedoch glaubt, er sei damit aus dem Schneider, irrt. Auch ihn belangt der Gesetzgeber, wenn auch erst bei grob fahrlässigem Handeln oder Vorsatz zu einer Straftat. Hinsichtlich der IT-Sicherheit gilt für ihn, dass er Sicherheitsvorkehrungen umzusetzen hat und seine Vorgesetzten auf Sicherheitsrisiken aufmerksam machen muss.



Im Zweifelsfall reicht es nicht darzustellen, dass ein Kontrollsystem vorhanden ist.Hier kann zum Beispiel der Arbeitskreis Externe und Interne Überwachung der Schmalenbach Gesellschaft als Expertengremium ins Spiel kommen: Dieser ist zwar nicht in die Gesetzgebung eingebunden, gibt aber als allgemein anerkanntes Forum von Wissenschaft und Praxis Hinweise zur konkreten Ausgestaltung von Kontrollsystemen. Ein Gericht wird sich also im Streitfall auch auf Vorgaben des AK Schmalenbach stützen: Und wenn dieser AK sagt, dass Funktionstests erforderlich sind, wird dagegen kaum ein Vorstand oder Aufsichtsrat etwas sagen. "Hier steht die IT mitten im Schussfeld, weil sie dafür Sorge tragen muss, dass die Kontrollmechanismen ineinandergreifen", sagt Fischer.

Zur Startseite