IT-Security als ganzheitlicher Ansatz

Das Feld der IT-Security ist ein sehr weites und unter dem Aspekt reibungsloser Geschäftsprozesse ein extrem wichtiges. Die Frage nach angemessener IT-Sicherheit, sowie dem angemessenen Budget und Grad an IT-Sicherheit tauchen in der Unternehmenspraxis immer wieder auf. Gleiches gilt z.B. auch für die Punkte Zuständigkeit und organisatorische Zuordnung und Aufbau von IT-Sicherheit.

Hier gilt das gleiche, wie auch im Themenfeld IT-Risikomanagement. Ein angemessener und ausreichender Grad an IT-Sicherheit kann nur erreicht werden, wenn das Thema ganzheitlich betrachtet und konsequent, d.h. systematisch umgesetzt wird. Gerade beim Thema IT-Sicherheit helfen Insel- und Teillösungen, sowie Subjektivierungen (im Sinne einer gefühlten Sicherheit) wenig weiter. 


Kleiner Stecker, im Zweifel fatale Wirkung. Nur wer ganzheitliches und systematisches IT-Security-Management
betreibt spürt auch die verstecktesten Sicherheitsrisiken auf (Foto: ©Klicker, Pixelio)


Unzureichende IT-Sicherheit ist eines der Kernrisiken in der Informatik. Fast jede Branche stützt Ihre Geschäftsprozesse mittlerweile intensiv mit Hilfe der Informationstechnologie. Der zunehmende Grad an Prozessautomatisierung, Prozessauslagerung und der rasche technische Wandel (z.B. auch die Öffnung von Systemen nach außen) schaffen zusätzliche Chancen, offenbaren aber auch die Anfälligkeiten für und bei Störungen (z.B. durch eingetretene Sicherheitsrisiken).

Wenn ein hohes Sicherheitsrisiko in der Informatik eintritt, so kann dies im Zweifel in existenzbedrohender Weise auf das Business durchschlagen. Dieses Bewusstsein ist trotz Themen wie z.B. "Managementhaftung" nicht überall ausgeprägt.

Oftmals orientieren sich Budgets für IT-Sicherheit nicht an der Notwendigkeit, sondern vielmehr am Gesamtbudget der IT (xy% des IT-Budgets ist für Sicherhheit ausreichend bzw. angemessen). Den angemessenen Bedarf an Sicherheit und somit auch erforderliche Budgets darf sich nicht an den pauschalen Gefühls- oder sonstigen Daumengrössen bemessen, sondern an dem tatsächlichen Bedarf an IT-Sicherheit.

Und nicht jeder Geschäftsführer oder Vorstand eines Unternehmens ist sich im Zweifel bewusst, welche Gefahren und Risiken für "sein" Business von unzureichender IT-Sicherheit ausgeht. In Unternehmen, in denen externe Aufsichtsgremien existieren, wie z.B. im Falle der BAFIN (Banken und Versicherungen), muss eine ausreichende IT-Sicherheit nachgewiesen werden. Dort werden u.a. im Bezug auf den Punkt IT-Sicherheit Vorgaben gemacht (bei Banken und Versicherungen sind dies die sog. MaRisk) und deren Einhaltung in strikter Weise überwacht. Bei Abweichung bzw. Nichteinhaltung drohen aufsichtsrechtliche Konsequenzen für ein Unternehmen. Mit diesen Vorgaben werden die Unternehmen dazu angehalten, Ihre Unternehmens- und damit auch Sicherheitsrisiken aktiv und gezielt zu managen. 

Es gibt eine Vielzahl von Vorgaben, IT-Security Standards, Normen und sog. Frameworks, derer man sich bedienen kann, um die Informatik und damit auch die gestützten Geschäftsprozesse in angemessener Form ausreichend sicher zu machen.

Die Beiträge zum Thema IT-Sicherheit sollen Ihnen dabei helfen den Aspekt IT-Security ganzheitlich und mit der nötigen Praxissicht erfolgreich umzusetzen. 

Erste Beiträge zum Thema IT-Security finden Sie auf diesem Portal. Diese werden im Laufe des Septembers sukzessive ergänzt. Schauen Sie also immer mal wieder vorbei oder tragen Sie sich in den Newsletter ein, um auf dem neuesten Stand zu sein.


Autor: Michael Scholz, August 2009