IT-Sicherheit sollte wie ein Auto regelmäßig geprüft werden

Trotz der zunehmenden Hacking-Skandale der letzten Jahre werden Service-Management und besonders das Information Security Management im Mittelstand noch zu stiefmütterlich behandelt. Dabei liegt es auf der Hand, dass nach der Transition einer IT-Landschaft diese auch dauerhaft hinsichtlich Funktion und Sicherheit gewartet werden muss. Wie beim Autokauf sollten turnusmäßige Wartungen und deren Inhalte definiert sein. Es reicht nicht aus, stumpf auf die Einhaltung von SLAs zu achten. Da Sicherheitsvorfälle ungeregelt auftreten, sind diese nicht standardisiert und sehr ungenau formuliert. Aufgrund der Vielfältigkeit können diese nicht allumfassend beschrieben werden. SLAs enthalten beispielsweise Angaben darüber, dass die Anwendung immer verfügbar sein muss. Hierzu sollten zusätzlich die Audit Logs geprüft werden.

Doch wie oft und wie detailliert diese Prüfungen vorgenommen werden sollen, ist meist vage formuliert. Standards wie ISO 27001 oder BSI Grundschutz können hier keine Vorgaben machen. Sie empfehlen "dem Unternehmen und dem Schutzbedarf angemessene Maßnahmen". Daher ist schließlich doch der Kunde selbst gefragt: Was ist mein Business und wie kann ich meine Kernkompetenzen schützen? Wie soll der Information Security-Dienstleister seine Prüfprozesse genau dokumentieren? Sich ihm hier blind anzuvertrauen, kann zu Risiken führen. Denn der Dienstleister weiß, dass genau hier Marge gehoben werden kann. Alle Information-Security-Prüfprozesse, die nicht näher definiert sind, bieten Interpretationsspielraum. Hier ergibt sich das Dilemma eines IT-Verantwortlichen, wenn auf der einen Seite eine Regulierung zu umfangreich wird oder Liberalisierung zu Unternehmensrisiken führt. Ein Ausweg ist die Schaffung von Transparenz und die Mitwirkung des Kunden an der Ausgestaltung von Betriebskonzepten in der Anforderungsdefinition. Hierfür ist es wichtig, zumindest einen gewissen Wissensstand intern aufzubauen.

Stabsstelle zur Bündelung von Prozess- und Information-Security-Management

Für größere Unternehmen ist es daher empfehlenswert, eine interne Stabsstelle einzurichten, die das Zusammenspiel von Prozessmanagement und Information Security sicherstellt und im besten Fall verantwortet. Diese Governance-Funktion übernimmt innerhalb des klassischen "Plan-Do-Check-Act"-Zyklus die Funktionen Planung und Überprüfung, nicht aber die operative Ausführung. Diese Stabsstelle berichtet idealerweise direkt an die Geschäftsleitung beziehungsweise den Vorstand und ist unabhängig von anderen Abteilungen. Alle internen und externen Prozess-Verantwortlichen, wie Service-Manager, der Informationssicherheitsbeauftragte oder der Datenschutzbeauftragte berichten an diese Instanz. Sie prüft, wie die verschiedenen Abteilungen miteinander agieren und erkennt Potentiale und Risiken. Zusätzlich bringt sie Neuerungen rechtzeitig ein, um die Systeme dauerhaft intakt und sicher zu halten. (fm)