Fazit
Parallel zu den IT-Risiken wird auch die Abhängigkeit der Unternehmen von der IT weiter zunehmen. Ein den Anforderungen angemessenes Sicherheitsniveau ist ohne Rückendeckung des Managements nicht mehr zu gewährleisten - im ständigen Kampf um das IT-Budget werden notwendige IT-Sicherheitsmaßnahmen zwangsläufig auf der Strecke bleiben. Die Lösung liegt im proaktiven Handeln: Eine auf den Geschäftsprozessen basierende Betrachtung der IT-Themen reduziert deren Komplexität. Der IT-Verantwortliche schafft dadurch eine gemeinsame Kommunikationsbasis mit der Geschäftsführung. Im Dialog zwischen Geschäftsleitung, Fachabteilungen und IT-Abteilung lässt sich dann, ausgehend von den Anforderungen der Geschäftsprozesse an die IT, ein gemeinsames Verständnis für das erforderliche Sicherheitsniveau erarbeiten.
Die Kommunikation dieser Erkenntnisse in Form einer IT-Sicherheitsleitlinie sorgt für die dringend erforderliche Verankerung der IT-Sicherheit mit der Firmenstrategie. Der Stellenwert von IT und IT-Sicherheit im Unternehmen wird so auch in die Fachabteilungen transportiert. Das Spannungsfeld löst sich auf, und ein stabiles Fundament für das IT-Sicherheits-Management ist geschaffen. Auf diese Weise können die IT-Grundwerte nun strategie- und prozessgesteuert verteidigt werden. (kf)
IT-Sicherheit - die Anforderungen
Konzeptionelle und technische IT-Sicherheitsanforderungen lassen sich in folgende Teilbereiche gliedern:
Organisatorische IT-Sicherheit: In den Bereich Organisation fällt primär der Aufbau des IT-Sicherheits-Managements. Dabei sollte die Geschäftsführung zunächst eine IT-Sicherheitsleitlinie formulieren, die strategische Aussagen zur Priorität der IT und IT-Sicherheit enthält. Zudem müssen eindeutige Verantwortlichkeiten samt Vertretungsregelungen sowie Kommunikationswege definiert werden. Weitere Aufgaben sind, alle Maßnahmen und Veränderungen zu dokumentieren, die IT-Benutzer zu schulen und zu sensibilisieren sowie regelmäßige Audits (etwa Penetrationstests) vorzunehmen. An dieser Stelle entscheidet sich, ob IT-Sicherheit vom Management, den Administratoren sowie den IT-Benutzern als Prozess verstanden und gelebt wird.
Technische IT-Sicherheit: Firewall, Virenscanner und Verschlüsselungssysteme sind wohl die gängigsten Beispiele für technische IT-Sicherheitsmaßnahmen. Aber auch Maßnahmen wie die Benutzerauthentifizierung mit Hilfe eines schlüssigen und umfassenden Rollen- und Rechtekonzepts sowie Netzsegmentierung und Systemhärtung fallen in diesen Bereich.
Physische IT-Sicherheit: Vom Überschwemmungs- und Brandschutz über unterbrechungsfreie Stromversorgung und Klimatisierung bis hin zum Zutrittsschutz sowie dessen Überwachung - insbesondere beim Betrieb zentraler Server-Räume oder Rechenzentren kann der physische IT-Basisschutz mit erheblichem Aufwand verbunden sein. Ebenfalls zu berücksichtigen ist die sichere Entsorgung jeglicher Art von Datenträgern.
Betriebskonzepte: Der sichere und stabile Betrieb einer IT-Umgebung setzt Konzepte für die Datensicherung, die geregelte Veränderung beziehungsweise Neuimplementierung von IT-Anwendungen sowie den Umgang mit Störungen voraus. Ebenfalls zu berücksichtigen sind das System- und NetzManagement sowie die Steuerung von Systemkapazitäten und -verfügbarkeiten. Die Bedeutung dieses Bereichs wächst mit der Größe der IT-Umgebung.
Notfallplanung: Vollständige IT-Notfallpläne beinhalten neben Krisenstab und Alarmierungsplan vor allem Anleitungen zur Wiederherstellung kritischer IT-Anwendungen und -Systeme. Darüber hinaus sind die benötigte Verfügbarkeit der IT sowie die wahrscheinlichen Notfallszenarien zu definieren. Betreibt das Unternehmen ein Business-Continuity-Management, sind die Notfallpläne dort zu integrieren.
Vertragsbeziehungen: Verträge mit externen Unternehmen müssen Verfügbarkeiten, Reaktions- und Behebungszeiten sowie die Verschwiegenheit einzelner Mitarbeiter verbindlich gewährleisten. Auch gesetzliche Aspekte wie die Anforderungen des Bundesdatenschutzgesetzes sind vertraglich abzudecken. Insbesondere beim Outsourcing von IT-Systemen sollte sich der Auftraggeber das Recht auf die Auditierung seines Partners einräumen lassen.
Wirtschaftlichkeit: Neben der Wirksamkeit der IT-Sicherheitsmaßnahmen muss die IT-Abteilung auch nachweisen, dass diese angemessen sind. So gilt es, Aufwendungen etwa für sicherheitsspezifische Technik, Softwarelizenzen und Personal gegenüber Geschäftsführung und Fachabteilungen transparent zu machen. Existiert eine Kostenstellenrechung, muss die IT-Sicherheit dort entsprechend integriert werden.
Gesetzliche Anforderungen: Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBs), Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU), Sarbanes-Oxley Act (SOX), Bundesdatenschutzgesetz (BDSG), Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) - die Liste von Gesetzen und Regulierungen mit direkten oder indirekten Auswirkungen auf die Firmen-IT wird von Jahr zu Jahr länger. Trotz unterschiedlicher Formulierung bleibt eine Anforderung gleich: die Pflicht, für fundierte IT-Sicherheit zu sorgen. Darüber hinaus sind verschiedene Ausprägungen zu beachten - etwa die Pflicht zur Archivierung von E-Mails (GDPdU), die Implementierung von Kontrollmechanismen (SOX) oder das Führen von Verfahrensverzeichnissen (BDSG).