Bewusstsein für IT-Sicherheit
- Written by Redaktion_Report
- font size decrease font size increase font size
Philipp Schaumann: In einzelnen Bereichen, speziell im Verantwortungsbereich der IT-Abteilung, wird bereits ein relativ hoher Sicherheitsstandard gelebt. Andererseits gibt es eine Reihe Schwächen, die diese positiven Aspekte leicht zunichte machen können. So gibt es keine weltweite Sicherheitsverantwortung in den Netzen und daraus resultierend auch keine einheitlichen Sicherheitsregeln, die weltweit durchzusetzen wären. Ein weiterer zentraler Schwachpunkt ist, dass es keine deutlich sichtbare Unterstützung des oberen Managements für eine Verbesserung der Informationssicherheit gibt. Dies ist aber unabdingbare Voraussetzung. Leider zeigt es sich recht oft, dass lobenswerte Einzelinitiativen der IT-Profis sich mangels Unterstützung der Geschäftsleitung tot laufen. Ein Beispiel: So musste in einem Unternehmen die sehr sinnvolle Einführung einer Bildschirmsperre bei längerer Inaktivität nach Beschwerden aus dem oberen Management wieder entfernt werden. So etwas untergräbt den Sicherheitsgedanken natürlich.
Was also würden Sie den Unternehmen raten?
Ganz oben auf der Weihnachtswunschliste vieler IT-Leiter steht die bessere Rückendeckung durch die Geschäftsleitung. Oft aber liegt das Problem in unklaren Verantwortungen und Kompetenzen. Implizit wird angenommen, dass die IT-Abteilung natürlich auch ihr eigener Kontrolleur sein sollte, gleichzeitig aber so simple und notwendige Sicherheitsentscheidungen wie \"minimale Passwortlänge muss größer Null sein“ nicht durchsetzen kann, sondern von der Geschäftsleitung desavouiert wird. Hier ist eine klare Verteilung der Verantwortung mit entsprechenden Kompetenzen gefordert.
Immer wieder hat eine Geschäftsleitung noch nicht erkannt, dass eine sichere und damit auch gut verfügbare und gut funktionierende IT heute für viele Unternehmen eine unabdingbare Voraussetzung für effiziente Geschäftsprozesse und Abläufe ist. Und das bedeutet, dass die drei Kernsäulen der Informationssicherheit, nämlich Vertraulichkeit, Integrität und Verfügbarkeit von Daten, Systemen und damit auch Anwendungen, ohne große Unterbrechungen gewährleistet werden muss. Was das im Einzelfall für ein Unternehmen bedeutet, ergibt eine Risikobetrachtung: Wie lange laufen unsere Geschäftsprozesse weiter, wenn durch den Ausfall eines Servers, oder der Internetanbindung, oder auch durch einen kräftigen Virusbefall die Systeme für einige Tage zum Stillstand kommen? Um zu so einer Analyse zu kommen, müssen alle Abteilungen zusammenarbeiten - dies kann nicht der IT-Abteilung überlassen werden. Und dafür braucht die IT-Abteilung die Unterstützung aus dem Management.
Erkennen die Unternehmen die Notwendigkeit zum Schulterschluss in Security-Fragen?
Zum Glück setzt sich diese Erkenntnis mittlerweile bei immer mehr Unternehmen durch. Wir unterstützen unsere Kunden bei diesen Analysen. Doch muss eine solche Risikobetrachtung keine umfangreiche Masterthese werden, sie lässt sich beim Einsatz von entsprechend erfahrenen Experten oft schon mit ein bis zwei Wochen Aufwand sehr kostengünstig erstellen. Eine solche Analyse kann dann alle nachfolgenden Investitions- und Projektentscheidungen auf eine solide, fundierte Grundlage stellen: Braucht das Unternehmen ein sofort verfügbares Zeitrechenzentrum, oder reicht in Wiederherstellungskonzept auf \"cold standby“ Basis, das eine Wiederaufnahme des Betriebs am nächsten Arbeitstag sicherstellt?
Philipp Schaumann ist seit 30 Jahren in der EDV tätig, er arbeitet als Security Consultant für Bull in Wien und führt Sicherheitsberatungen, Audits und Risikoanalysen durch. Er unterrichtet auch an der Donau Universität in Krems in mehreren Kursen zu Themen wie Risikoanalyse, Sicherheitspolicy, Desaster Recovery, aber auch Businessethik und ihre Relevanz für firmeninterne Wirtschaftskriminalität.