"IT-Sicherheit ist nach wie vor ein Stiefkind in den Unternehmen", sagt Derk Fischer, Partner bei der PricewaterhouseCoopers AG Wirtschaftsprüfungsgesellschaft, Düsseldorf. Den Grund sieht er darin, dass die Verantwortlichen die Bedeutung von IT-Sicherheit für den Unternehmenserfolg häufig falsch einschätzen, weil sie aus deren Sicht keinen Anteil zur Wertschöpfung beitrage. Dies sei falsch, denn "IT-Sicherheit hilft, die Wertschöpfung abzusichern".
Die Folge: Unternehmen investieren in Sicherheit nur punktuell, wo die Gefahren offensichtlich sind oder wenn entsprechend Druck aufgebaut wird - was häufig erst nach einem entstandenen Schaden erfolgt. "Investitionen werden dort getätigt, wo Risiken transparent sind und unterlassen, wo Risiken schwer greifbar sind", kritisiert Fischer. In den meisten Fällen fehle eine begründete Risikoeinschätzung, auf deren Basis Investitionsentscheidungen getroffen werden können - und die IT-Sicherheit wird ganz einfach als "technisches Problem" an die IT-Abteilung delegiert.
IT-Sicherheit ist Chefsache
Die Verantwortung für die IT-Sicherheit liegt aber eindeutig bei der Unternehmensleitung. „IT-Sicherheit ist Chefsache“, sagt Dr. Nikolaus Forgo, Professor an der Universität Hannover und Mitglied des Advisory Boards bei der europäischen Sicherheitsorganisation EICAR. Denn der Gesetzgeber verlange von der Unternehmensleitung, dass sie ein „angemessenes IT-Sicherheitsniveau“ garantiere. Nun streiten Juristen zwar über die Auslegung dieser Begrifflichkeit und deren Tragweite. Allerdings ändert das nichts daran, dass die Verantwortung von der Rechtsseite her eindeutig beim Management angesiedelt ist.
Wer als IT-Mitarbeiter jedoch glaubt, er sei damit aus dem Schneider, irrt. Auch ihn belangt der Gesetzgeber, wenn auch erst bei grob fahrlässigem Handeln oder Vorsatz zu einer Straftat. Hinsichtlich der IT-Sicherheit gilt für ihn, dass er Sicherheitsvorkehrungen umzusetzen hat und seine Vorgesetzten auf Sicherheitsrisiken aufmerksam machen muss.
Im Zweifelsfall reicht es nicht darzustellen, dass ein Kontrollsystem vorhanden ist.Hier kann zum Beispiel der Arbeitskreis Externe und Interne Überwachung der Schmalenbach Gesellschaft als Expertengremium ins Spiel kommen: Dieser ist zwar nicht in die Gesetzgebung eingebunden, gibt aber als allgemein anerkanntes Forum von Wissenschaft und Praxis Hinweise zur konkreten Ausgestaltung von Kontrollsystemen. Ein Gericht wird sich also im Streitfall auch auf Vorgaben des AK Schmalenbach stützen: Und wenn dieser AK sagt, dass Funktionstests erforderlich sind, wird dagegen kaum ein Vorstand oder Aufsichtsrat etwas sagen. "Hier steht die IT mitten im Schussfeld, weil sie dafür Sorge tragen muss, dass die Kontrollmechanismen ineinandergreifen", sagt Fischer.
Das Management versteht die IT nicht
Eines der größten Probleme in der Praxis liegt in der Kommunikation. Denn: Die Geschäftsführung versteht das Thema nicht, weil es aus der IT-Argumentation heraus "häufig keinen nachvollziehbaren Link zum Geschäftsprozess gibt", so Derk Fischer. „IT-Verantwortliche haben häufig nur dann die Chance, die Geschäftsführung zu überzeugen, wenn sie berichten, was nicht funktioniert oder was bereits schief gelaufen ist“. Das ist fatal, denn 90 bis 95 Prozent der Unternehmen kontrollieren ihre IT nicht ausreichend, um beurteilen zu können, wie gut sie funktioniert. Oft wissen sie nicht, welche Sicherheitsmängel tatsächlich bestehen.
Um eine Basis für Investitionsentscheidungen in die IT-Sicherheit zu bieten, sind somit zunächst folgende Fragen zu beantworten:
-
Welche Risiken existieren für das Business?
-
Welche Informationen müssen geschützt werden?
-
Welche Schutzniveaus- und -maßnahmen werden benötigt?
Ist mit diesen Antworten eine Entscheidungsgrundlage geschaffen worden, kann die IT ihre Investitionsanträge sinnvoll begründen und die Geschäftsleitung ihrer Verantwortung für die Sicherheit der Unternehmensinformationen gerecht werden.
Compliance - eine echte Herausforderung für die IT-Abteilung
Nun kann aber von kaum einem IT-Verantwortlichen erwartet werden, dass er sämtliche Vorgaben kennt, um ein wirkungsvolles und gesetzeskonformes Sicherheitskonzept zu entwickeln. Denn diese sind vielschichtig, wie an einigen Compliance-Beispielen schnell deutlich wird: Von den Mindestanforderungen an Vorstand und Aufsichtsrat in Unternehmen, die im Gesetz zur Kontrolle und Transparenz im Unternehmensbereich, kurz KonTraG, festgelegt ist, geht der Anforderungskatalog über zahlreiche Datenschutzbestimmungen hin zu Pflichten aus dem Steuerrecht, dem Telekommunikationsgesetz oder dem Teledienstegesetz.
Auch zu erwartende Auswirkungen aus Gesetzesinitiativen wie beispielsweise das Gesetz zur Modernisierung des Bilanzrechts (BilMoG) sind zu berücksichtigen. So wird beispielsweise die unter dem Namen "EuroSOX" bekannt gewordene 8. Richtlinie der Europäischen Kommission mittels des BilMoG durch die Bundesregierung in nationales Recht umgesetzt. Fischer: "Dieses Gesetz wird bis 2009 fertiggestellt und spätestens in 2010 umgesetzt werden und auch die IT spielt dabei eine wesentliche Rolle". Mit der Einführung von EuroSOX sind Vorgaben für die Unternehmens-IT zu erfüllen. Unternehmen, die am US-amerikanischen Markt notiert sind, unterliegen außerdem den Vorschriften des Sarbanes-Oxley Act - ebenfalls eine große Herausforderung für die IT.
Doch damit nicht genug: Auch für das interne Kontrollsystem sind umfangreiche Kriterien wie Qualität, Transparenz und Kontrolle bei der Planung der IT-Security zu berücksichtigen.
Standards helfen bei Planung, Umsetzung und Betrieb
Um dieser Vielfalt gerecht zu werden und sicher zu gehen, dass gesetzliche Anforderungen erfüllt und individuelle Sicherheitsrichtlinien bedarfsgerecht definiert werden, raten Experten dazu, Standards zu Hilfe zu nehmen, die sich mit Risiken, Kontrollen, Sicherheitsprozessen, Sicherheitskonzepten und -maßnahmen befassen. Einer davon heißt ISO27001. Er spezifiziert die "Anforderungen für Herstellung, Einführung, Betrieb, Überwachung, Wartung, und Verbesserung eines dokumentierten Informations-Sicherheits-Management-Systems unter Berücksichtigung der Risiken innerhalb der gesamten Organisation" (Definition nach Wikipedia).
ISO27001 beschreibt keine technischen Details, vielmehr geht es um den Aufbau und Betrieb eines sogenannten Informations-Sicherheits-Management-Systems, kurz ISMS. Zentraler Kern dabei ist es, die IT-Sicherheit als fortlaufenden Prozess darzustellen und sie stets aktuell zu halten. Um dies zu gewährleisten, verwendet ISMS das sogenannte Plan-Do-Check-Act-Modell.
Das PDCA-Modell umfasst vier Zyklen:
-
Plan: Einrichten eines ISMS
-
Do: Implementieren und Betreiben eines ISMS
-
Check: Überwachen des ISMS
-
Act: Warten und verbessern des Systems
Anhand des Modells lässt sich auch eine Investitionsgrundlage erarbeiten: Nachdem die Risiken ermittelt und klassifiziert wurden, werden Kontrollziele und Kontrollen definiert. Diese Kontrollen haben die Aufgabe, Risiken zu minimieren. Die Definition der Kontrollen (PLAN) und die Umsetzung (DO) ergeben den Bedarf für die Investitionen in die IT-Sicherheit. Die Bezifferung der Investitionsvolumina und die genaue Beschreibung des Risikos sind die Entscheidungsgrundlage, die der IT-Verantwortliche dem Management vorlegen kann. Das Management wiederum kann diese akzeptieren oder abwägen, mit welcher Investition das Risiko graduell minimiert werden soll.
Das Ziel dieses Modells ist damit, sowohl Investitionen als auch Restrisiken für alle Beteiligten transparent zu machen.
"Mut zur Lücke"
Der Leistungsumfang des Standards ist hoch. Er berücksichtigt nahezu alle Faktoren, die bei Planung, Aufbau, Betrieb und Wartung eines sicheren Informationssystems zum Tragen kommen können. Denn er hilft dabei, die Anforderungen und Zielsetzungen zur IT-Sicherheit zu formulieren. Er bietet ein kosteneffizientes Management von Sicherheitsrisiken, stellt die Konformität mit Gesetzen und Regularien sicher und bietet einen Prozessrahmen für die Implementierung und das Management von Maßnahmen zur Sicherstellung von spezifischen Zielen zur Informationssicherheit.
Somit ist er anwendbar für jede Unternehmensart und -größe. Für viele kleinere und mittelständische Unternehmen ist er jedoch zu umfangreich, weshalb Derk Fischer rät, ihn nicht eins zu eins umzusetzen: "Haben Sie Mut, den Standard anhand der Anforderungen und Bedürfnisse ihres Unternehmens und dessen spezifischen Geschäftsprozessen zu interpretieren und überflüssiges wegzulassen", rät der Experte allen IT-Verantwortlichen.
Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat den Sinn des ISO27001 erkannt und stützt sich auf ihn. Er ist Bestandteil des IT-Grundschutz und eine Zertifizierung ist möglich. Außerdem gewinnt der Standard bei Ausschreibungen zunehmend an Bedeutung - vergleichbar mit dem Qualitätsstandard ISO-900x.
Ergänzt wird der Standard um ISO27002, der eine Verfahrensbeschreibung darstellt. Während ISO27001 die „guidance of use“ darstellt ist der ISO27002 der "code of practice", denn letzterer gibt konkrete Hinweise, wie die einzelnen Bausteine innerhalb des Informations-Sicherheits-Management-Systems auszuprägen sind.
Fazit
Der Einsatz einer risikoorientierten IT-Sicherheitsplanung ist die Grundlage für eine höhere Akzeptanz der IT bei der Geschäftsführung. Außerdem dient sie dazu, die IT-Sicherheit auf die Geschäftsziele auszurichten und sie ermöglicht eine zielgerichtete Erhöhung des IT-Sicherheitsniveaus auf Basis tatsächlicher Geschäftsrisiken.
Die Verwendung von Standards wie beispielsweise dem ISO27001 reduziert die Kosten der IT-Sicherheitsplanung und stellt eine umfassende, vollständige und nachhaltige Sicht auf die IT-Sicherheit sicher. Richtig angewandt sind Standards ein Mittel zur Effizienzsteigerung und können damit aktiv ihren Beitrag zur Wertschöpfung im Unternehmen leisten. Derk Fischer: "Nur eine Integration in Organisation und Prozesse führt zu einem dauerhaften Erhalt eines einmal erreichten IT-Sicherheitsniveaus und den Erhalt der IT-Compliance. Aber daran muss ein Unternehmen ganzheitlich fortlaufend arbeiten".