Sicherheit: Irgendwer muss haften

21.03.2006
Von Katharina Friedmann

Obwohl also die meisten Firmen IT-Sicherheit sehr ernst nehmen, gibt es Fehler, die immer wieder auftreten. Selbst in Großunternehmen, die bereits eigene Security-Teams etabliert und unternehmensspezifische Policies entwickelt haben, werden die Sicherheitsverantwortlichen seiner Erfahrung nach oft zu spät in das Projektgeschehen involviert. Cirosec-Chef Strobel berichtet: "In den meisten Fällen preschen die Fachabteilungen ihren Bedürfnissen entsprechend erst einmal vor, um mit ihren Vorstellungen dann bei der Sicherheitsabteilung das große Grauen auszulösen." Vor allem bei Eigenentwicklungen erachtet es der Berater als zwingend, Security-Aspekte bereits im Vorfeld der Codierung einzuplanen: Zum einen sei über nachträgliche Implementierungen technisch keine echte Sicherheit zu gewährleisten. Zum anderen würden erst im fortgeschrittenen Projektstadium berücksichtigte Sicherheitsbelange nicht selten das für das Vorhaben angesetzte Budget sprengen.

In einem Punkt sind sich die Security-Verantwortlichen weitgehend einig: Allein aufgrund von Sicherheitsbedenken werden von den Fachabteilungen beantragte Vorhaben nicht abgelehnt. "Glaubt jemand, sich nicht an die von mir erlassenen Sicherheitsrichtlinien halten zu können, wird dieses Risiko im Rahmen eines nach ISO27000 orientierten Security-Prozesses bewertet", erläutert Krebs von der Finanz IT GmbH. Alle Unternehmensrisiken werden in einer zentralen Datenbank, dem von der Sicherheitsabteilung unabhängigen "Risiko- und Chancen-Management" des IT-Dienstleisters, gesammelt und der Geschäftsleitung regelmäßig vorgelegt.

Das Business hat Vorrang

Auch bei O2 wurde bislang noch kein Vorhaben aus Sicherheitsgründen ganz abgewehrt. Aus Gründen der Flexibilität hält es CIO Röder für nötig, nach Analyse von Business-Vorteil und potenziellem Schaden sowie detaillierter Aufklärung der Unternehmensleitung Wagnisse einzugehen. "Nicht Security soll das Business treiben, sondern umgekehrt", meint Röder. Für ein permanentes Monitoring sorgt ein eigens eingesetztes Team, das neben den Audit-Ergebnissen auch die akzeptierten Risiken im Auge behält. "Da haben wir nicht wenige", räumt Röder ein, der etwa einmal im Vierteljahr eine Risikoübernahme unterschreibt, um Projekte zu ermöglichen.