computerwoche.de

Security

Führungskräfte vernachlässigen IT-Sicherheit

28.08.2007
Von pte pte
IT-Sicherheit ist für Unternehmen und Privatanwender ein ernstes Thema, doch trotz aller Anstrengungen hat man nicht das Gefühl, dass sich die Situation entspannt - im Gegenteil.

Chinesische Trojanerangriffe auf das Kanzleramt, Datenraub beim Jobportal Monster, verseuchte elektronische Grußkarten als neuer Trend, mangelnde Informationen über die IT-Sicherheit im Mittelstand: die Sicherheit der Informationstechnik in Behörden und Unternehmen bleibt auf der Tagesordnung. "Die Internet-Gefahren nehmen sowohl in Quantität als auch in Qualität deutlich zu", sagte Michael Hange, Vizepräsident des Bundesamtes für Sicherheit in der Informationstechnik BSI bereits zu Jahresbeginn. Laut IT-Sicherheitsreport 2007, den das Netzwerk Elektronischer Geschäftsverkehr (NEG) veröffentlicht hat, informiert die Hälfte aller Unternehmen seine Angestellten überhaupt nicht über Sicherheitsfragen. Außerdem verfügen viele Firmen nicht über IT-Notfallpläne, die bei einem Virenangriff in Kraft treten könnten. An der NEG-Studie beteiligten sich bundesweit 275 Unternehmen.

Leider spielt das Thema im Mittelstand vorwiegend eine theoretische Rolle. "In der Praxis herrschen Ahnungslosigkeit und das Gefühl 'Es wird schon gut gehen'. Oft endet der Schutz schon bei Firewall und Viren-Scanner und ist damit ziemlich lückenhaft," berichtet das CIO-Magazin, eine Schwesterpublikation der CW. Experten machen dafür auch mangelndes Bewusstsein in der Führungsetage aus. "Viele Entscheidungsträger verengen das Thema auf den technischen Aspekt und betrachten es nicht als ganzheitliche Managementaufgabe. Eine erfolgreiche Sicherheitsstrategie benötigt jedoch immer die Unterstützung der Geschäftsführung und muss alle Mitarbeiter einbeziehen", sagt Projektleiter Andreas Duscha vom E-Commerce-Center Handel in Köln.

Und das, obwohl mit Basel II auch die Sicherheit der Informationstechnik für die Unternehmensbewertung insgesamt wichtiger geworden ist. Denn vor einer Kreditvergabe beispielsweise müssen Banken auch das Unernehmensrisiko bewerten. Dazu gehört die Ausfallsicherheit der EDV-Systeme und der generelle Schutz vor Informationsverlust. "Die meisten Unternehmen haben derzeit vor allem in technische IT-Sicherheit investiert, aber zu wenig in IT-Prozessmanagement. Zur Bewertung der operationellen Risiken nach Basel II werden aber genau solche Faktoren wie exakte Dokumentation, Notfallpläne, Security-Policy oder IT-Verfügbarkeit geprüft", sagt Erich Scheiber von der österreichischen Zertifizierungsstelle für Informationssicherheit CIS. "Zur Bewertung der operationellen Risiken nach Basel II werden aber Faktoren wie exakte Dokumentation, Notfallpläne, Security-Policy und IT-Verfügbarkeit geprüft", so Scheiber.