Informationssicherheit 7. November 2011

Das Stiefkind des Managements

Trotz täglicher Medienberichte über Datendiebstahl und -schutzvorfälle aller Art, ist das Thema Informationssicherheit bis heute ein Stiefkind des Managements. Der Grund liegt häufig im fehlenden Risikobewusstsein und falscher Wahrnehmung.

Die Meinung, mit einem Werksschutz (Zugangskontrolle und physische Sicherheit), einem Datenschutzbeauftragten und technischen Sicherheitsmaßnahmen in der IT sei man gut aufgestellt, ist leider nach wie vor weit verbreitet. Aber die Welt von heute sieht anders aus als vor 30 Jahren und das kann jedes Management nachvollziehen, wenn es reflektiert, wie hoch die Abhängigkeit von Informationstechnologien im eigenen Business 1980 war und wie sich dies heute darstellt.

Nahezu alle Geschäftsprozesse in Organisationen werden heutzutage über Informationstechnologien unterstützt und die immateriellen Werte in Unternehmen haben einen signifikant höheren Anteil, als in den 80ern. Die Anforderungen an nachhaltige Unternehmens- und Informationssicherheit heute sind nicht mehr über historisch gewachsene Organisationsformen (Werksschutz, Datenschutz und IT-Abteilung getrennt und nicht abgestimmt arbeitend) abzudecken. IT-Abteilungen von heute fungieren als Herzstück des reibungslosen Ablaufs der meisten täglichen Geschäftsprozesse, sind mit nahezu mit allen Unternehmensbereichen verbunden und damit weit mehr als reiner Lieferant von Technologie.

Daten sind überall verfügbar

Heute sind Daten grundsätzlich nahezu überall im Unternehmen verfügbar und es besteht die Möglichkeit, Datendiebstahl von unterschiedlichsten Orten inner- oder außerhalb des Unternehmens oder auf die verschiedensten Arten durchzuführen, ohne dass dies augenscheinlich auffällt. Dieses Wissen um die vielfältigen Bedrohungen im Zusammenspiel von Menschen, Maschinen und Kommunikationsmedien erfordert den gesamten Zyklus aller Aktivitäten im Unternehmen organisatorisch, prozessual, physisch und technisch zu betrachten und diesen integriert zu begegnen. Wichtig dabei ist, die organisatorischen vor den technischen Planungen durchzuführen.

Beklagenswerter Weise ist diese Sicht im Mittelstand aber auch großen Unternehmen nicht etabliert. Trotz „Task Force IT-Sicherheit“ der Bundesregierung und eindringlichen Appells des Verfassungsschutzes an die Unternehmen, anhand vorliegender Erkenntnisse aus dem Bereich Wirtschaftsspionage, die individuellen Risiken im Unternehmen zu reflektieren, ist die Erkenntnis der Notwendigkeit Informationssicherheit als Managementaufgabe zu betrachten, längst nicht überall in den Geschäftsführungsebenen angekommen.

Sensibilisierung des Managements

Mit der Arbeitsgruppe Informationssicherheit will Teletrust Deutschland e.V. das Management in Organisationen informieren, sensibilisieren und überzeugen, dass Unternehmens- und Informationssicherheit:

die volle Unterstützung der Geschäftsführung benötigt. Wirksame Unternehmens- und Informationssicherheit muss Unternehmensentwicklung und -strategie bereits in frühen Phasen in die Planungen einbeziehen können, um die Risiken und Bedrohungen von morgen absichern zu können

von der Geschäftsstrategie und -situation abgeleitet werden muss. Für das Kerngeschäft kritische Prozesse können nur bei ausreichender Transparenz bedarfsgerecht und pragmatisch absichert werden, ohne mit der „Gießkanne“ in Sicherheit zu investieren und zu viel Geld ohne den erwünschten Erfolg auszugeben.

nachhaltig und wirksam nur durch eine ganzheitliche Sichtweise erreicht wird. Security Officer ist keine „Vorruhestandsposition“ sondern der Manager der an die Geschäftsführung berichtet und in Abstimmung mit Risiko-/IT-Risikomanager, Datenschutzbeauftragten und Werksschutz als Bindefunktion zu den anderen Unternehmensbereichen arbeitet. Der Rolleninhaber benötigt klare und übergreifende Kompetenzen und betriebswirtschaftliche, juristische, organisatorische und technische Kenntnisse.

ein laufender Prozess und kein temporäres Projekt sind. Nur methodisches, planvolles Handeln und Dokumentation, wie dies anerkannte Standards (Plan-Do-Check-Act Modell) empfehlen, gewährleistet eine wirkliche Verbesserung der Situation.

neben den Sicherheitsaspekten auch erhebliche und bisher weit unterschätzte positive Kosteneinsparpotentiale eröffnet.

Die erheblich verbesserte Transparenz ermöglicht die passgenaue Investition des IT-Budgets in wirklich notwendige Maßnahmen. Richtig verstandene und ganzheitliche Unternehmens- und Informationssicherheit minimiert die Risiken, erhöht die Transparenz, spart Kosten und wird so zum Erfolgsfaktor für eine Organisation.

Ellen und Dipl. Ing. Werner Wüpper (Ltg. Arbeitsgruppe Informationssicherheit bei Teletrust Deutschland e.V.), WMC GmbH

IT-Sicherheit Mechanische Sicherheit Öffentliche Sicherheit Wirtschaftsschutz/-kriminaltität Produkte

Folgen Sie uns

Passend zu diesem Artikel

Es ist sinnvoll, Mitarbeiter zum Beispiel von Sicherheitsdiensten, im Bereich Deeskalation und Selbstbehauptung zu schulen, um in kritischen Situationen angemessen reagieren zu können.

Produkte

Mitarbeiter in Deeskalation und Selbstbehauptung schulen

Trainings für Mitarbeiter im Bereich Deeskalation und Selbstbehauptung schärfen die Wahrnehmung für Risiken und bereiten auf kritische Situationen vor.

Mit einer Kapazität von 66.500 Zuschauern zählt die Merkur Spiel-Arena zu den zehn größten Stadien in Deutschland – jetzt ausgestattet mit einer elektronischen Schließlösung.

Zutrittskontrolle

Zutrittsrechte flexibel verwalten: Schließlösung für Fußball-Arena

Die Merkur Spiel-Arena setzt auf eine moderne Schließlösung, die eine hohe Flexibilität unter anderem bei der Verwaltung der Zutrittsrechte bietet.

Verbindet die funktionalen und sicherheitstechnischen Anforderungen professioneller Organisationen mit der Anwenderfreundlichkeit und Einfachheit von Consumer-Apps: Der neue Dallmeier Semsy Mobile Client.

Videosicherheit

Professionelles Videomanagement für die Westentasche

Mit dem Semsy Mobile Client bietet Dallmeier ab sofort eine Lösung an, die umfassende Videoüberwachung von Mobilgeräten aus ermöglicht