Management-Systeme für IT-Sicherheit nehmen Fahrt auf
20.07.2015 von Wilfried Heinrich
Neue sicherheitsrelevante Themen wie Cloud und Mobility sind von den Unternehmen bisher weitgehend unbeachtet geblieben, auch der aktuelle Sicherheitsstatus wird nur zurückhaltend bewertet. Nun wollen sie aber mit höheren Budgets Gas geben.
Die Stimmung im deutschen Markt ist im Bereich IT-Sicherheit derzeit nur mittelmäßig. Gründe sind die schlechte finanzielle Austattung der Anwender, was IT-Security angeht, sowie die zurückhaltende Einbeziehung des Themas bei der Diskussion um IT-Trendthemen.
Da der Security-Druck unaufhörlich zunimmt, werden Security-Budgets künftig jedoch mitwachsen - gerade für ISMS (Infomationssicherheit-Managementsysteme).
Zu diesen Erkenntnissen kommt der IT-Security-Index 2015, den die SecuRisk GmbH ermittelt hat. Eine große Rolle spielen in den Unternehmen demnach Management-Systeme für die Informationssicherheit (ISMS).
Infolge der NSA-Affäre und den regelmäßig neuen Fällen von Datendiebstahl wie etwa zuletzt bei Sony machen Fragen der digitalen Sicherheit immer mehr Unternehmen nervös. Offenbar stellen sie fest, dass sie ihr offenbar weniger Aufmerksamkeit als notwendig geschenkt haben. Für diese Einschätzung sprechen die Erkenntnisse einer Untersuchung, die anhand zahlreicher Parameter die aktuelle IT-Security-Stimmung in deutschen Unternehmen ermittelt hat. Hierzu gaben die über 340 befragten IT-Sicherheitsverantwortlichen aus deutschen Unternehmen aller Branchen mit mehr als 25 Millionen Euro Jahresumsatz in einer Werteskala von 0 bis 10 ihre jeweilige Einschätzung ab. Aus der Summe und Gewichtung der Einzelergebnisse wurde der IT-Security-Index 2015 errechnet.
Die Gefahren nehmen zu, die Security-Budgets hingegen noch nicht so wirklich. Klar ist aber, dass die Abwehr von Gefahren - gerade aus dem Cyberspace - für Anwender immer bedeutender wird. Die Unternehmen sind jedenfalls spürbar nervös. Foto: alphaspirit - Fotolia.com
Stimmung mittelmäßig
Mit 54,9 von maximal 100 Punkten gibt er keineswegs ein positives Bild ab, schließlich wird nur ein Ergebnis knapp über dem Mittelwert erreicht. Zwar liegen dabei die Bewertungen des unternehmensinternen Verständnisses für die Notwendigkeit von Maßnahmen zur Stärkung der Informationssicherheit und des aktuellen IT-Sicherheitsniveaus leicht über dem Durchschnitt. Dafür ist jedoch die Budget-Ausstattung für diese Aufgaben nach Ansicht der Befragten nur unzureichend. Zu dem schwachen Ergebnis hat zudem beigetragen, dass sich die Unternehmen bislang nur zurückhaltend den Sicherheitskonsequenzen neuer Trends gewidmet haben.
Cyber-Security genießt derzeit Prio 1, was Sicherheitstrends in den Unternehmen angeht - die Abwehr von Attacken aus dem Internet ist das mit Abstand wichtigste Security-Thema für die nächsten Monate. Foto: SecuRisk GmbH
Aber die ermittelten Zahlen deuten darauf hin, dass sie durch den Druck der Notwendigkeiten nun mehr tun wollen. So weist die Einschätzung der Herausforderungen für die nächsten zwölf Monate den mit Abstand höchsten Einzelwert auf. Gleichzeitig soll mehr Geld für den Schutz vor digitalen Gefahren und den Datenschutz bereitgestellt werden. "Es ist zwar noch nicht der ganz große Ruck zu erwarten, aber durchaus ein deutliches Umdenken spürbar, weil auch in den Chefetagen der Handlungsbedarf als immer offensichtlicher erkannt wird", registriert der IT-Security-Analyst Robert Hellwig von SecuRisk.
Akzeptanz von ISMS steigt
Das wachsende Engagement zeigt sich auch deutlich in den Einzelbetrachtungen der Trendthemen, wie besonders das Beispiel Cloud-Sicherheit zeigt: Die bisher nur verhaltene Intensität in diesem Feld soll deutlich zunehmen, was sich in dem Anstieg der entsprechenden Index-Werte von 4,33 auf 5,94 darstellt. Eine ähnliche, wenngleich nicht so starke Tendenz drücken die Planungen von Maßnahmen zum Schutz vor Cyber-Kriminalität und im Hinblick auf Informationssicherheits-Managementsysteme (ISMS) aus. Während sich die Unternehmen jetzt schon relativ intensiv um die Cyber-Sicherheit kümmern, aber trotzdem noch etwas zulegen wollen, scheinen die keineswegs schon selbstverständlichen ISMS ein dynamische Verbreitung zu erfahren. "Weil inzwischen auch Branchenverbände zertifizierbare Managementsysteme für die Informationssicherheit empfehlen, werden diese zunehmend zu einer Selbstverständlichkeit", erwartet Hellwig. Selbst für den Mittelstand wachse die Akzeptanz für ISMS-konforme Lösungen nach ISO 27001 oder dem BSI-Standard.
12 Tipps für eine schlanke ISO 27001-Einführung
Fürsprecher in der Chefetage gewinnen Ein Managementsystem für die Informationssicherheit kann nur fruchten, wenn es auf allen Ebenen des Unternehmens eine wirksame Unterstützung erfährt. Deshalb sollte frühzeitig ein Schulterschluss mit der Geschäftsleitung herbeigeführt werden, indem sie aktiv in die Planungen zu ISO/IEC 27001 einbezogen wird.
Branchenspezifische Anforderungen In zunehmendem Maß entwickeln Branchenverbände Vorschriften für die Informationssicherheit, teilweise werden sie auch – wie etwa im Fall der Energieversorger – vom Gesetzgeber vorgegeben. Sie müssen zwingend in die Ausrichtung des ISMS einbezogen werden, sofern sie nicht sowieso bereits Bestandteil der eigenen Compliance sind.
Nicht nur ein Zertifikat besitzen wollen So wichtig gegenüber Kunden und Geschäftspartnern eine Zertifizierung als Ausweis der Informationssicherheit sein kann, so wenig liegt der eigentliche Wert in einer solchen Etikettierung. Vielmehr muss das ISMS zu einem integralen Element der Unternehmensorganisation werden.
Mit einer GAP-Analyse beginnen In der Regel bestehen bereits rudimentäre IT-Sicherheitsmaßnahmen. Mit einer GAP-Analyse finden Sie heraus, auf welchen von ihnen sich aufbauen lässt. Dadurch sinkt der Aufwand der Implementierung eines ISO-konformen ISMS erheblich.
Unrealistische Projektierungszeiten vermeiden Zu anspruchsvolle Ziele können bei einer ehrgzeigen Projektplanung auch kontraproduktiv sein. Umgekehrt wiederum kann sich bei einem zu langsamen Projektablauf das Engagement verlieren. Deshalb sollten Unternehmen die Balance zwischen der ambitionierten Ausrichtung und dem Machbaren versuchen zu wahren.
Schlanke Realisierungsmethoden nutzen Die Höhe des Einführungs- und Administrationsaufwands trägt wesentlich zur Akzeptanz eines ISO/IEC 27001-basierten ISMS auf den Managementebenen bei. Allein aus diesem Grund sollten ressourcen- und kostenschonende Lean-Methoden eingesetzt werden, ohne dass sie jedoch zu Kompromissen bei den Qualitätszielen zwingen.
Augenmaß bei der Komplexität Zwar muss den von der ISO-Norm geforderten Elementen einer Sicherheitsrichtlinie für das ISMS entsprochen werden. Aber in der Praxis hat sie mitunter einen Umfang von vielen Dutzend Seiten, der nicht praktikabel ist. Denn je komplexer sie ist, desto geringer ist die Bereitschaft, sich daran zu orientieren.
Keine standardisierte Policy anderer nutzen Jedes Unternehmen hat ein spezielles organisatorisches Profil und individuelle Sicherheitsbedingungen. Dementsprechend lässt sich eine Security-Richtlinie auch nicht aus einem nach unklaren Kriterien entwickelten Standard ableiten, auch wenn dies auf den ersten Blick eine erhebliche Aufwandsersparnis verspricht.
Ausufernde Dokumentationen vermeiden Ebenso ist es bei den ISO/IEC 27001-Dokumentationen hilfreich, sich an dem Prinzip „Think big, do small“ zu orientieren. Sie sollten inhaltlich die erforderliche Aussagekraft erlangen, sich dabei aber nicht in einer unnötigen Tiefe verlaufen.
Für ein breites ISMS-Verständnis sorgen Das Informationssicherheits-Managementsystem funktioniert letztlich nur so gut, wie es von allen Prozessbeteiligten akzeptiert wird. Deshalb sind Awareness-Maßnahmen notwendig, die der aktiven Mitwirkung dienen. Wikis und andere Aktivitäten können zum internen ISMS-Marketing gehören.
Geschäftsleitung in die Schulungen einbeziehen Erst wenn sich das Top-Management auch auf einer konkreten statt nur auf der abstrakten Ebene in dem Thema einfindet, wird es ein nachhaltiges Verhältnis für die Bedeutung eines ISMS entwickeln. Aus diesem Grund sollte es motiviert werden, zumindest partiell an den betreffenden ISO-Schulungen teilzunehmen.
Frühzeitig für eine KVP-Kultur sorgen In einem Kontinuierlichen Verbesserungsprozessen (KVP) werden die Sicherheitsmaßnahmen weiterentwickelt. Das verlangt auch ein organisatorisches Selbstverständnis, das über Schulungen hinauentwickelt werden muss.
(Tipps zusammengestellt von der mikado AG)
Dagegen verharrt das Thema Mobility-Sicherheit mit unterdurchschnittlichen Index-Werten auf einem vergleichsweise niedrigen Niveau. Auch das in diesem Jahr zu erwartende IT-Sicherheitsgesetz, das Teile der Wirtschaft zu besonderen Maßnahmen im Sicherheitsmanagement verpflichten wird, steht jedoch noch nicht auf der Agenda der Unternehmen. (sh)