Notwendigkeit von IT-Security

Risikofaktor Informationstechnik

Sicherheitskonzepte: Hoher Aufwand, hohe Kosten, geringer Nutzen?

Kaum ein anderer Bereich der Informationstechnik ist derzeit mehr im Gespräch als die IT-Sicherheit - aber auch kein anderer Bereich wird mehr bagatellisiert, indem das Problem immer wieder auf die medienträchtigen Gefahren wie Viren, Trojanern und Co. reduziert wird.

IT-Sicherheit kostet Geld, ohne dem Unternehmen einen unmittelbar, fassbaren Nutzen zu bringen. Das führt dazu, dass die IT-Sicherheit bei vielen mittelständischen Betrieben nur einen Alibicharakter aufweist und der Schutz des erarbeiteten Marktvorsprungs häufig in deutlichem Missklang zum betriebenen Aufwand, z. B. für die Entwicklung neuer Produkte, steht.

Und dies obwohl viele mittelständische Unternehmen Spitzenprodukte herstellen und in ihrem Marktsegment oft genug als Weltmarktführer gelten.

Haftung der Verantwortlichen

Schon seit einiger Zeit verpflichten auch rechtliche Vorschriften die Unternehmens-leitungen Maßnahmen zu treffen, um operationelle Risiken zu minimieren (KonTraG, GmbH-Gesetz ...).

Aber auch die neuen Ratingbestimmungen nach Basel II, hinsichtlich der Kreditwürdigkeit von Unternehmen, zeigen die neuen Anforderungen. In Zukunft wird die Bewertung der operativen IT-Risiken an Bedeutung gewinnen und folglich eine lückenhafte Sicherheitsorganisation negativ zu Buche schlagen.

Darüber hinaus wird generell an die Tätigkeit leitender Angestellter ein erhöhter Sorgfaltsmaßstab angelegt, gemessen an der für eine leitende Position unterstellten erforderlichen Qualifikation und Ausbildung. Dies erhöht auch das Risiko, für Fehler persönlich verantwortlich gemacht zu werden und für etwaige Schäden mit eigenem Vermögen zu haften.

Handlungsbedarf

Wenn sich in Unternehmen die Informationstechnik von der „besseren Schreibmaschine“ zum Produktionsfaktor gewandelt hat (und in den meisten Betrieben ist dies mittlerweile der Fall), dann muß diesem Umstand auch hinsichtlich Risikominimierung Rechnung getragen werden.

Dies schon im ureigensten Interesse des Betriebes und nicht nur um Gesetzen genüge zu tun. Und vielleicht wird in der Zukunft in Unternehmen eine sichere Informationstechnik sogar eine unverzichtbare Vertrauensbasis im Verhältnis zwischen Kunden, Lieferanten und Partnern.

Sichere Informationstechnik quasi als echter Qualitätsfaktor und zunehmend auch als Wettbewerbsvorteil.

Generelle Vorgehensweise

Sicherheit bedarf einer ganzheitlichen und strukturierten Sicherheitskonzeption, wobei IT-Sicherheit alle technischen und organisatorischen Maßnahmen umfasst, um Informationen vor Verlust und Verfälschung zu schützen und eine Störung des laufenden Betriebes zu verhindern. Darüber hinaus ist IT-Sicherheit unabdingbare Voraussetzung für einen adäquaten Datenschutz.

• Umfassend aber teuer, die Risikoanalyse

Eine Möglichkeit, ein Sicherheitskonzept zu erstellen, ist die traditionelle Risikoanalyse. Dabei werden individuelle Sicherheitsmaßnahmen für eine vorliegende IT-Landschaft erarbeitet. Die zu schützenden Werte (IT-Systeme, Daten, Know-how etc.) werden ermittelt und genau untersucht, welchen Bedrohungen sie ausgesetzt sind. Anschließend wird analysiert, wie hoch die Wahrscheinlichkeit eines Sicherheitsvorfalls ist, welches Schadensausmaß zu erwarten ist, welche Sicherheitsmaßnahmen ergriffen werden können und welches Restrisiko nach Umsetzung des Sicherheitskonzeptes verbleibt.

• Die kostengünstige Alternative

Einen alternativen Weg zur Erstellung eines Sicherheitskonzepts beschreitet das IT-Grundschutzhandbuch des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Es beschreibt praxiserprobte Standard-Sicherheitsmaßnahmen für typische IT-Systeme, die nach dem aktuellen Stand der Technik umzusetzen sind, um ein angemessenes Sicherheitsniveau zu erreichen. Dabei berücksichtigt es die Bereiche Infrastruktur, Organisation, Personal, Technik und Notfallvorsorge und unterstützt so eine ganzheitliche Vorgehensweise.

• Mögliche Zertifizierung

Möchte eine Organisation den Nachweis erbringen, dass sie definierte Sicherheitsstandards erfüllt, bietet sich eine Zertifizierung an. Das Bundesamt für Sicherheit in der Informationstechnik bietet - in Zusammenarbeit mit lizenzierten Sicherheitsauditoren - eine staatliche Zertifizierungen an.