von Redaktion IT-A…
Lesezeit
2 Minuten
Informationssicherheit als Management-Aufgabe
Deutschlands Unternehmen stehen bei Cyber-Kriminellen hoch im Kurs. Nirgendwo ist der durch IT-Attacken verursachte wirtschaftliche Schaden höher als hier, so der aktuelle eco-Report 2015. Der Schutz der digitalen Inhalte vor dem Zugriff Dritter ist deshalb wichtiger denn je. Doch Firmenlenker handhaben das Thema Informationssicherheit sehr unterschiedlich. Nicht selten kommt es dabei zu typischen, eigentlich vermeidbaren Defiziten. Unser Fachartikel gibt Tipps, wie sich die Cyber Security in der eigenen Organisation steigern lässt.
Sony Pictures, Lufthansa, TV5, Tesla, Deutscher Bundestag – und das ist nur die Spitze der Spitze des Eisbergs: Die Liste der Angriffe, die allein in den letzten Wochen bekannt wurden, ließe sich um weitere namhafte Organisationen verlängern. Klar ist: 100prozentige Sicherheit gibt es nicht. Allerdings wäre es ein Irrtum, deshalb zu resignieren und Hackern und Cyber-Kriminellen verteidigungslos das Feld zu überlassen. Aber genau das ist in vielen Organisationen gelebte Realität. Professionelle Informationssicherheit ist immer systematisch gesteuert, doch genau das ist häufig nicht der Fall. Cyber Security ist – trotz der wachsenden Bedrohungslage – in deutschen Unternehmen oft wenig mehr als ein Lippenbekenntnis.
Dabei ist die Situation oft durchaus ambivalent: Betriebe sind sich bewusst, dass ihr Business vor allem auf einer sicheren IT basiert. Andererseits vertrauen Unternehmen darauf, dass die organisatorischen und technischen Maßnahmen, die sie bereits ergriffen haben "schon reichen werden" und "dass wir gar nicht interessant genug sind für einen Hacker-Angriff". Empfehlungen von CIOs und IT-Admins gelten eher als Kosten denn als Investition in die Zukunftssicherung des Unternehmens und sterben den schnellen Tod auf der nächsten Streichliste. Und: Selten schätzen Organisationen das tatsächliche Bedrohungspotenzial realistisch ein. Neuartige Bedrohungen wie gezielte komplexe Angriffe sind oft gar nicht im Vorsorge-Fokus: Es fehlt an personellen Ressourcen und Know-how.
Informationssicherheit im Kontext von Risiken und Wirtschaftlichkeit
Die Symptome sind vielfältig, die Ursache ist einfach: Viele Unternehmen betrachten Informationssicherheit nicht als Chefsache, sondern als Teildisziplin ihrer IT. Die allerdings ist oft nicht angemessen an die Geschäftsbereiche angebunden und erhält keine konkreten Anforderungen von der Business-Seite. Immer wieder klagen CISOs darüber, keinen angemessenen Draht in die Geschäftsführung zu haben oder kein Verständnis für die Erfordernisse der Informationssicherheit zu finden.
Für das Top-Management hingegen ist es vielfach schwer verständlich, dass die IT ein Stützprozess und damit ein wirklicher Businesstreiber ist und das Thema Informationssicherheit weit über den Aktionsradius der IT hinausgeht. Häufig fehlt es in der Unternehmensführung auch an fachlichem Verständnis für relevante Fragen der Cyber-Sicherheit, da dies nur selten zu den Kernaufgaben des Top-Managements gehört.
Dabei schafft professionell gesteuerte Informationssicherheit – umgesetzt durch die strukturierte Koordination in einem Informationssicherheits-Managementsystem (ISMS) nach ISO/IEC 27001:2013 oder IT-Grundschutz – wesentliche Mehrwerte, angefangen von der Erfüllung regulativer Anforderungen (Compliance), der Identifikation, Bewertung und Behandlung aktueller Risiken bis hin zu einer wirtschaftlich angemessenen Maßnahmenplanung. Dies schafft Synergien und kann Kosten für die Planung, Implementierung und fortlaufenden Betrieb nachhaltig senken. Zusätzlich zeigt sich in der Praxis: Zentrale Lösungen lassen sich in der Regel ressourcenschonender, sicherer und zuverlässiger betreiben als konkurrierende und sich vielfach überschneidende Individuallösungen.
ISMS muss in der Organisation gelebt werden
Die bloße Implementierung eines ISMS allein reicht nicht aus, wichtig ist, dass es in der Organisation auch wirklich gelebt wird. Das bedeutet zum Beispiel, dass die Interaktion zwischen Gesellschaften, Fachbereichen und bereits vorhandenen unterschiedlichen Managementsystemen (etwa ISMS, QMS, BCMS) sichergestellt ist. Alle Akteure sollten dem gleichen Ziel folgen. Allerdings ist immer wieder kritisch zu hinterfragen, ob alle die gesetzten Ziele auch wirklich kennen. Implementierungsfehler wie unzureichende Abstimmung mit dem Geschäftsprozessen und Unternehmenszielen sind ein eindeutiger Hinweis darauf, dass hier noch Optimierungsbedarf besteht.
Erfolgskritisch ist eben diese angemessene Abstimmung zwischen den Fachbereichen, die die Kernprozesse der Wertschöpfungskette abbilden und den Abteilungen, die die wesentlichen Unterstützungsprozesse realisieren – von der Integration von Führungsprozessen, Strategien und Zielsetzungen des Unternehmens ganz zu schweigen. Denn erfahrungsgemäß kranken ein effektives, ganzheitliches Risikomanagement und die Umsetzung entsprechender Maßnahmen auch an organisationsspezifischen Themen und innenpolitischem Kompetenzgerangel.
Seite 1: Informationssicherheit muss gelebt werden
Seite 2: Schutz über die gesamte Wertschöpfungskette
ln/Arne Helemann, Principal Consultant bei der TÜV Rheinland i-sec
Dabei ist die Situation oft durchaus ambivalent: Betriebe sind sich bewusst, dass ihr Business vor allem auf einer sicheren IT basiert. Andererseits vertrauen Unternehmen darauf, dass die organisatorischen und technischen Maßnahmen, die sie bereits ergriffen haben "schon reichen werden" und "dass wir gar nicht interessant genug sind für einen Hacker-Angriff". Empfehlungen von CIOs und IT-Admins gelten eher als Kosten denn als Investition in die Zukunftssicherung des Unternehmens und sterben den schnellen Tod auf der nächsten Streichliste. Und: Selten schätzen Organisationen das tatsächliche Bedrohungspotenzial realistisch ein. Neuartige Bedrohungen wie gezielte komplexe Angriffe sind oft gar nicht im Vorsorge-Fokus: Es fehlt an personellen Ressourcen und Know-how.
Informationssicherheit im Kontext von Risiken und Wirtschaftlichkeit
Die Symptome sind vielfältig, die Ursache ist einfach: Viele Unternehmen betrachten Informationssicherheit nicht als Chefsache, sondern als Teildisziplin ihrer IT. Die allerdings ist oft nicht angemessen an die Geschäftsbereiche angebunden und erhält keine konkreten Anforderungen von der Business-Seite. Immer wieder klagen CISOs darüber, keinen angemessenen Draht in die Geschäftsführung zu haben oder kein Verständnis für die Erfordernisse der Informationssicherheit zu finden.
Für das Top-Management hingegen ist es vielfach schwer verständlich, dass die IT ein Stützprozess und damit ein wirklicher Businesstreiber ist und das Thema Informationssicherheit weit über den Aktionsradius der IT hinausgeht. Häufig fehlt es in der Unternehmensführung auch an fachlichem Verständnis für relevante Fragen der Cyber-Sicherheit, da dies nur selten zu den Kernaufgaben des Top-Managements gehört.
Dabei schafft professionell gesteuerte Informationssicherheit – umgesetzt durch die strukturierte Koordination in einem Informationssicherheits-Managementsystem (ISMS) nach ISO/IEC 27001:2013 oder IT-Grundschutz – wesentliche Mehrwerte, angefangen von der Erfüllung regulativer Anforderungen (Compliance), der Identifikation, Bewertung und Behandlung aktueller Risiken bis hin zu einer wirtschaftlich angemessenen Maßnahmenplanung. Dies schafft Synergien und kann Kosten für die Planung, Implementierung und fortlaufenden Betrieb nachhaltig senken. Zusätzlich zeigt sich in der Praxis: Zentrale Lösungen lassen sich in der Regel ressourcenschonender, sicherer und zuverlässiger betreiben als konkurrierende und sich vielfach überschneidende Individuallösungen.
ISMS muss in der Organisation gelebt werden
Die bloße Implementierung eines ISMS allein reicht nicht aus, wichtig ist, dass es in der Organisation auch wirklich gelebt wird. Das bedeutet zum Beispiel, dass die Interaktion zwischen Gesellschaften, Fachbereichen und bereits vorhandenen unterschiedlichen Managementsystemen (etwa ISMS, QMS, BCMS) sichergestellt ist. Alle Akteure sollten dem gleichen Ziel folgen. Allerdings ist immer wieder kritisch zu hinterfragen, ob alle die gesetzten Ziele auch wirklich kennen. Implementierungsfehler wie unzureichende Abstimmung mit dem Geschäftsprozessen und Unternehmenszielen sind ein eindeutiger Hinweis darauf, dass hier noch Optimierungsbedarf besteht.
Erfolgskritisch ist eben diese angemessene Abstimmung zwischen den Fachbereichen, die die Kernprozesse der Wertschöpfungskette abbilden und den Abteilungen, die die wesentlichen Unterstützungsprozesse realisieren – von der Integration von Führungsprozessen, Strategien und Zielsetzungen des Unternehmens ganz zu schweigen. Denn erfahrungsgemäß kranken ein effektives, ganzheitliches Risikomanagement und die Umsetzung entsprechender Maßnahmen auch an organisationsspezifischen Themen und innenpolitischem Kompetenzgerangel.
Seite 1: Informationssicherheit muss gelebt werden
Seite 2: Schutz über die gesamte Wertschöpfungskette
| Seite 1 von 2 | Nächste Seite >> |
ln/Arne Helemann, Principal Consultant bei der TÜV Rheinland i-sec