| |||
| | | |
| |
IT-Sicherheitsmanagement: Ein Muss für jedes Unternehmen
Die Bedrohung der Informations- und Kommunikationstechnologie (ITK) nimmt unvermindert zu. Ob im privaten oder geschäftlichen Umfeld. IT-Systeme sind verwundbar – Technisierung, Komplexität und die Tendenz zur Professionalisierung der IT-Bedrohung entwickeln sich dynamisch. IT-Sicherheitsmanagement scheint daher das Gebot der Stunde zu sein.
IT-Bedrohungen nicht isoliert betrachtenLaut Einschätzung des Bundesamts für Sicherheit in der Informationstechnik (BSI) werden vor allem folgende IT-Bedrohungen weiter zunehmen: Zero-Day-Exploits, Trojanische Pferde, Spyware/Adware, unerwünschte E-Mails (Spam), Identitätsdiebstahl/Social Engineering sowie Ping-Anrufe. Ebenso steigt das Risikopotenzial bei innovativen Technologien, so z. B. bei Voice over IP (VoIP), Handy/PDA, asynchrones Javascript und XML (AJAX) sowie Prozesssteuerungssysteme (SCADA).Wer allerdings meint, die Thematik nur im technischen Umfeld anzusiedeln, sollte beachten, dass Informationssicherheit mehr und mehr zu einem strategischen Managementthema geworden ist. Es reicht nicht, Anbieter von informationstechnischen Produkten und Systemen in der Pflicht zu sehen, für ein angemessenes IT-Sicherheitsniveau zu sorgen oder Einzellösungen für die technische Infrastruktur zu entwickeln. IT-Sicherheit ist viel komplexer. Beispielsweise ist im täglichen Umfeld der (Un-)Sicherheitsfaktor Mensch nicht zu vernachlässigen: Arbeitnehmer können ihren Unternehmen durch gedankenloses Verhalten, Irrtum oder durch Vorsatz mitunter beträchtlichen Schaden zufügen. Dieses Risiko wird oft größer eingeschätzt als das, das von Viren und Würmern ausgeht und lässt sich z. B. am Liechtenstein-Skandal eindrucksvoll belegen. Hierbei hat ein ehemaliger Mitarbeiter der liechtensteinischen LGT Bank einem Bericht der Süddeutschen Zeitung zufolge eine CD-ROM mit belastenden Bank-Interna dem Bundesnachrichtendienst (BND) zur Verfügung gestellt, die der Bundesnachrichtendienst in Amtshilfe an die Steuerfahndung Wuppertal weitergeleitet hatte. Die Affäre führte Mitte Februar 2008 wegen Verdachts der Hinterziehung von Steuern in Millionenhöhe zu mehrere Hausdurchsuchungen – so u.a. gegen den damaligen Vorstandsvorsitzenden der Deutschen Post AG, Klaus Zumwinkel – und führte zu zahlreichen Anlagen seitens der Staatsanwaltschaft. Was ein effektives Sicherheitsmanagement ausmacht, ist ein ganzheitlicher Ansatz: Nicht nur die IT-Prozesse selbst, sondern auch infrastrukturelle, personelle und organisatorische Aspekte der gesamten IT-Umgebung müssen berücksichtigt werden. Was nützt die leistungsfähigste Firewall, wenn der Zugang zu den Serverräumen nicht ordnungsgemäß geregelt ist? Welchen Stellenwert besitzen unterbrechungsfreie Stromversorgung (USV) und Notstromaggregate, wenn diese nicht regelmäßig verifiziert werden und die im Rahmen einer kontrollierten Notfallübung empfohlene Simulation des Stromausfalls ausbleibt? Hierbei sei an den Stromausfall während der zweiten Halbzeit des EM-Halbfinales 2008 Deutschland-Türkei erinnert, der – trotz der Existenz eines Notstromaggregats – minutenlange Bildausfälle zur Folge hatte. Informationssicherheit sollte daher als ganzheitlicher Prozess verstanden werden, der sich von der Managementebene bis zur operativen Umsetzung nebst nachgelagerter Qualitätssicherung einzelner Maßnahmen durchzieht. Sensibilität und Vertraulichkeit im Umgang mit Kundendaten als erfolgskritische Größe in der Customer Care BrancheDie Komplexität des Themas erfordert einen immer größeren Aufwand, Vertraulichkeit, Verfügbarkeit und Integrität von Informationen sicher zu stellen – dabei sind dies die erfolgskritischen Größen in der Customer Care Branche. Aufgrund der Sensibilität im Umgang mit Kundendaten besteht in Customer Care Centern – sowie aber auch in anderen Unternehmensbereichen – eine besonders hohe Schutzanforderung. Ein Managementsystem für Informationssicherheit stellt hierfür die Basis.Gerade in Kundengesprächen werden von Customer Care Centern sicherheitsrelevante Informationen regelmäßig verifiziert und iterativ weitere IT-Sicherheitsmaßnahmen eingefordert. Wer hier beispielsweise die Datenschutz- und IT-Sicherheitsanforderungen von sowohl potenziellen, als auch von Bestandskunden nicht mit seinen Unternehmensstrukturen und -prozessen abbilden kann, hat es am Markt schwer – wie die informationssicherheitstechnischen Vorgaben zahlreicher Ausschreibungen belegen. Strategisches IT-Sicherheitsmanagement – mehr und mehr ein Muss!Einer aktuellen Studie des BSI zufolge wird das Thema IT-Sicherheit von IT-Verantwortlichen und Geschäftsführern als absolut vorrangig bezeichnet, doch nur knapp ein Fünftel der deutschen Unternehmen investiert mehr als 7,5 Prozent des gesamten IT-Budgets in IT-Sicherheit . Mangelnde Investition in Informationssicherheit ist dabei zwingend auf der Ebene der Geschäftsleitung und des Managements anzusiedeln: Mehr als die Hälfte der Befragten schätzt das Gefahrenpotenzial für das eigene Unternehmen als gering ein, was sich oftmals – unserer Erfahrung nach aus einer Vielzahl externer Beratungsprojekte – als gefährlicher Trugschluss erweist.Sicherheitsrisiken werden darüber hinaus eher als technische und nicht als betriebswirtschaftlich relevante Probleme gesehen. Hinsichtlich Prävention und Umgang mit IT-Sicherheitsrisiken wird also auf der Managementebene oft nicht ausreichend verantwortungsbewusst agiert. Richtlinien zur Informationssicherheit existieren nur in jedem fünften deutschen Unternehmen. Selbst dort, wo es Regeln gibt, sind wiederum nur knapp zwei Drittel der betreffenden Mitarbeiter auch damit vertraut und entsprechend sensibilisiert. Das Argument, Sicherheitsmaßnahmen müssten bei knappen finanziellen Mitteln eingespart werden, ist ein gefährlicher Trugschluss: Schäden, die beispielsweise durch Systemzusammenbrüche oder Spionageangriffe entstehen, können rasch ein Vielfaches der Sicherheitsinvestitionen betragen. Letztlich zahlt sich Sicherheit insofern aus, als dass sie als Risikoversicherung verstanden werden muss. Eine Vielzahl von Unternehmen haben diese Notwendigkeit bereits erkannt und ihre bisherigen Budgets zur Realisierung eines Standardsicherheitsniveaus aufgestockt. Für ein ganzheitliches ITK-Sicherheitsmanagement gibt es gute Gründe: 1. Kundenanforderungen: Das Thema Vertraulichkeit genießt nicht nur in der Customer Care Branche, sondern auch in der Finanz- und Versicherungsbranche hohen Stellenwert. Vielfach werden sogar anerkannte IT-Sicherheitsstandards von Interessenten und Kunden eingefordert. Informationssicherheit wird damit mehr und mehr zum kritischen Erfolgsfaktor bei der Akquise und zum Qualitätsattribut für die Unternehmertätigkeit. 2. Gesetzliche Regelungen: Die kaufmännischen Sorgfaltspflichten (z. B. aus BGB, StGB) sehen vor, dass Maßnahmen zur Sicherung der Informationstechnik zu ergreifen sind, sofern kritische Geschäftsprozesse stark von der ITK abhängig ist. Auch durch das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) wurden die einschlägigen Gesetze des Gesellschaftsrechts um Regelungen ergänzt, die es erlauben, Schadensersatzansprüche des Unternehmens gegen Vorstände oder Geschäftsführer geltend zu machen. Neben diesen spielt auch das Datenschutz- und Telekommunikationsrecht eine nicht zu vernachlässigende Rolle. IT-Sicherheitsmanagement bietet somit eine valide Form der Absicherung bei rechtlichen Verantwortlichkeiten und Haftungsfragen. 3. Forderungen von Wirtschaftsprüfern, Kreditgebern und Versicherungen: Der Nachweis über ein dokumentiertes und nachweisbares Sicherheitsmanagement erleichtert die Betriebsprüfung und trägt zur Transparenz bei. Insbesondere Banken und Versicherungen achten bei der Vergabe von Krediten und Beitragsberechnungen zunehmend auf eine in Einklang mit Basel II bestehenden Sicherheitsstrategie. 4. Unternehmensanspruch: Sicherheitsrelevante Vorfälle sollen reduziert und die Effizienz verbessert werden. Dazu gehört auch die Vermeidung von Imageverlust, das Aufzeigen von GAPs in Organisation, Prozessen und Routinen oder die Schulung administrativer Ressourcen. Mittelfristig ist die Kosteneinsparung das erklärte Ziel und ein probater Weg dorthin. 5. Möglichkeit von Audits bei Lieferanten und Partnern: Anhand des eigenen – idealerweise international anerkannten – ITK-Sicherheitsstandards ist es durch einen Benchmark umso leichter, Lieferanten und Partner an der bestehenden Norm zu messen und einzuschätzen. Diese Gründe – und insbesondere das Sicherstellen der Kontinuität von Geschäftsprozessen (Business Continuity) im Krisenfall und die Entwicklung präventiver (Abwehr-)Maßnahmen – zeigen sich deshalb als wichtige und wesentliche Managementaufgabe. Schließlich entstehen durch Betriebsausfälle nicht unerhebliche Kosten. Der Verlust von Kundendaten oder internen Informationen über Geschäftsabläufe bringt weitere Wettbewerbsnachteile und einen Imageverlust mit sich.
07/2009, Andreas G. Weyert
| | | | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| © 1999-2010 FEiG & PARTNER | Nutzungsbedingungen | | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
 | |  | |  | |  | |  | |  | |  | |  | |  | |   |
|
| ||
| know how news veranstaltungen sicherheitswarnungen | |
| ||
| ||
| ||
| ||
|
