Aktueller Channel Fokus:

Komponenten & Peripherie

IT-Security Management & Technology Conference 2019

Die gesetzlichen Vorgaben zur IT-Security schon erfüllt?

| Autor / Redakteur: Dr. Philip Huisgen / Peter Schmitz

Unternehmen sind verpflichtet, Vorgaben zur IT-Security gemäß dem Stand der Technik zu erfüllen. Was aber wird von Unternehmen genau erwartet?
Unternehmen sind verpflichtet, Vorgaben zur IT-Security gemäß dem Stand der Technik zu erfüllen. Was aber wird von Unternehmen genau erwartet? (Bild: Datakom)

Unternehmen müssen die Vorgaben zur IT-Security gemäß dem 2019 überarbeiteten „Stand der Technik“und diverse Compliance-Vorgaben erfüllen. Aber was genau wird von Unternehmen erwartet? Wie lassen sich die Vorgaben priorisieren und wie stellt man die Awareness für deren Notwendigkeit sicher?

Es ist die alte Leier: Unternehmen sind gehalten, Informationssicherheit und IT-Security in ihren Organisationen zu etablieren. Die Beweggründe dazu sind vielschichtig und vielerorts benannt: Einerseits schreibt die viel zitierte EU-Datenschutz-Grundverordnung die Einhaltung des „Stands der Technik (SdT)“ zur Absicherung der Daten im Unternehmen vor.

Das IT-Sicherheitsgesetz (IT-SiG) beschränkt sich zunächst einmal auf bestimmte Unternehmenskreise, soll aber mit dem IT-SiG 2.0, zu dem seit dem 27.03.2019 der erste Referentenentwurf vorliegt, die IT-Sicherheit für Gesellschaft, Wirtschaft und Staat ganzheitlich auszuweiten. Was das auch immer für Unternehmen bedeuten soll. Diverse Compliance-Vorgaben, die Unternehmen zunehmend folgen wollen oder sollen, tun ihr Übriges.

Ergänzendes zum Thema
 
Hier geht es zur Anmeldung für die IT-Security Management & Technology Conference 2019

Was aber wird jetzt von Unternehmen genau erwartet? Klarheit darüber zu erlangen, ist eine Herausforderung. Ein Beispiel: Der SdT wurde vom deutschen Verband der IT-Sicherheit „TeleTrust“ in Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik just in diesem Jahr überarbeitet. Wer aber sagt, dass diesem SdT Folge zu leisten ist? Der SdT ist ja keine Vorgabe, sondern hat rein empfehlenden Charakter.

Unternehmen können überdies alle Risiken als akzeptiert verorten, um damit verbundene Maßnahmen auf die lange Bank zu schieben. Hauptsache die Begründung erscheint plausibel. Dürfen sie also sämtliche Maßnahmen bezüglich Informationssicherheit und IT-Sicherheit unter den Teppich kehren, weil die damit verbundenen Kosten einfach nicht in die Budgets passen?

Die Verantwortlichen für Informationssicherheit und IT-Security haben hierzu typischer Weise eine gesetzte Meinung: Die Sicherheit von Informationen und auch der IT im Unternehmen bewahrt vorrangig das eigene Unternehmen vor teils existenziellen Schäden. Zahlreiche Beispiele in der Vergangenheit haben gezeigt, wie massiv diese Schäden ausfallen können.

Wie aber lassen sich die Vielzahl der möglichen Maßnahmen priorisieren?

Die Wahl der Maßnahmen kann einerseits gestreng dem ökonomischen Prinzip der Input-Output-Optimierung folgen: Womit erhalte ich mit geringem Aufwand die „passendste“ Sicherheit. Für die IT-Security sprechend wäre hier das Schwachstellen-Management beispielhaft zu nennen. Mit wenig organisatorischem und finanziellen Aufwand sind die häufigsten Angriffe – rund 95 Prozent aller Angriffe - für das Unternehmen abgewehrt.

Häufig lassen sich aber auch Maßnahmen identifizieren, mit deren Umsetzung auch Kosteneinsparung an anderer Stelle realisiert werden. Eine quasi Win-Win-Situation. Beispiel hierzu: Die Einführung von Access Rights Management, das zu einer deutlichen Entlastung der Administratoren bei der Verteilung, Überprüfung und Dokumentation von Zugangsrechten. Das Lizenzmanagement lässt sich damit ebenfalls optimieren.

Bei all diesen Möglichkeiten stellt aber das fehlende Bewusstsein für die Bedeutung von Informationssicherheit und IT-Security im Unternehmensmanagement einen markanten Gegenpol zur Investitionsentscheidung.

So hat jüngst ein Awareness-Test für Bedrohungen in der IT-Security ein verblüffendes Ergebnis produziert. 100 Mitglieder der Führungsetage einer großen Unternehmensgruppe wurde mit Hilfe einer Awareness-Lösung zu IT-Security mit einer gezielten Phishing-Kampagne überzogen. Das Ergebnis: Beinahe 50 Prozent der adressierten Opfer im eigenen Unternehmen fielen auf die glücklicherweise harmlose Attacke hinein.

Es wird also deutlich, dass das Bewusstsein hinsichtlich der Bedeutung von Informationssicherheit und IT-Security nicht nur in der Basis, sondern auch im Management bis heute nicht den Stand erreicht, den man sich wünschen würde.

Wie fördert man Security-Bewusstsein im Unternehmen und im Management?

Bewusstsein lässt sich bereits mit einfachsten Bordmitteln im Unternehmen herstellen. Low-Budget Marketingmaßnahmen sind uns ein Beispiel: So erhielten beispielsweise die Mitarbeiter eines Unternehmens in der Kantine eine übersichtliche Quizkarte an der Kasse überreicht, was mit der Beantwortung weniger Fragen die Aussicht auf einen einfachen Gewinn am Infostand der unternehmenseigenen IT-Abteilung im Eingangsbereich offenbarte. Genug Futter, um für Diskussionen unter den Kollegen während der gesamten Mittagspause zu sorgen. Da sich die Quiz-Kampagne mehrere Male wiederholte, offenbarte sich schließlich auch dem Management die Bedeutung der Informationssicherheit und IT-Security und es genehmigte die nötigen Maßnahmen.

Die Kuh ist damit aber selten vom Eis: Die Mittelfreigabe für technische oder organisatorische Maßnahmen können nur so viel bewirken, wie für deren nachhaltige Umsetzung Sorge getragen wird. So ist ein Schwachstellen-Management kaum wirksam, wenn es nicht in den jeweiligen Prozessen vollumfänglich integriert wird. Ein sogenannter Scan-Report läuft ins Leere, wenn nicht Regeln und Verantwortungen definiert wurden, die die systematische Weiterbearbeitung sicherstellen.

Dr. Philip Huisgen ist Managing Director der Datakom GmbH.
Dr. Philip Huisgen ist Managing Director der Datakom GmbH. (Bild: Datakom)

Und eben hier liegen die oftmals verkannten Herausforderungen, insbesondere wenn das Festlegen von Regeln, Verantwortungen und Prozessen über Organisationseinheiten hinweg geht. Es bleibt dann allzu häufig bei „just another tool“.

Über den Autor: Dr. Philip Huisgen hat 25 Jahre als Unternehmensberater bei den großen Beratungen wie KPMG, Accenture und Capgemini gearbeitet. Sein Themenschwerpunkt war dabei stets die Entwicklung von Organisationen in der IT. Er ist heute Managing Director der Datakom GmbH, ein Unternehmen, das seit 1986 als Beratungs- und Integrationspartner für IT-Security-Prozesse und -Lösungen aktiv ist. Dr. Philip Huisgen ist außerdem Keynote-Sprecher auf der IT-Security Management & Technology Conference 2019!

Kommentare werden geladen....

Sie wollen diesen Beitrag kommentieren? Schreiben Sie uns hier

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45913080 / IT-Security)