Geschäftsleitung muss mitmachen
Zu einem ganzheitlichen Informationssicherheitskonzept gehört auch die Einbeziehung des gesamten Unternehmens außerhalb der IT. Das fängt bei der Geschäftsleitung an: Die muss die Sicherheit der Unternehmensdaten zur Führungsaufgabe machen und dafür sorgen, dass Regelwerke unternehmensweit aufgestellt und eingehalten werden. Das geht über die Fachabteilungen, in denen die Mitarbeiter Tag für Tag sitzen und mit den konkreten Problemen von richtigem Verhalten, Datenschutz und Abwehr von Angriffen konfrontiert werden. Das betrifft die Personalabteilungen in den Unternehmen, die sich in organisierter Form zum Beispiel mit der Schulung und der Weiterbildung von Mitarbeitern befassen. Und dazu gehören - da sind sich die Experten im Sinne eines ganzheitlichen Konzepts einig - eben auch Schulungen und Weiterbildungen speziell zur Informationssicherheit. Erst für den Rest, die technischen Maßnahmen, die Tools, die Monitoring-Werkzeuge, die Peter Maucher zufolge maximal 50 Prozent der Schutzmaßnahmen ausmachen, ist dann die IT-Abteilung zuständig.
Erfolgreiche Regeln brauchen Kontrolle
Mängel in der Informationssicherheit sind auch auf fehlende Sanktionen zurückzuführen. "Es gibt weder in Deutschland noch auf europäischer Ebene Institutionen die mit dem TÜV oder einer Wirtschaftsprüfung vergleichbar wären", sagt Lynn-Kristin Thorenz. Auch Peter Maucher beklagt die mangelnde Kontrolle bei der Einhaltung der gesetzlichen Vorschriften. Zudem seien die lange maximal zu erwartenden Strafzahlungen von 50.000 Euro viel zu gering gewesen. Da die Implementierung wirksamer Schutzmechanismen ein Vielfaches davon koste, verzichteten die Unternehmen nach einer Wirtschaftlichkeitsrechnung früher einfach auf die Maßnahmen. "Das war billiger", so Maucher, der jedoch darauf hinweist, dass sich das mit der Novelle des Bundesdatenschutzgesetzes 2009 geändert habe. Nun seien bei Verstößen Strafen bis zu 300.000 Euro sowie Gewinnabschöpfungen möglich. Das würde Unternehmen wesentlich härter treffen. Allerdings: "Es schaut nach wie vor kaum jemand nach, ob die Vorschriften eingehalten werden", kritisiert Maucher.
Aber auch intern ist es wichtig, über Audits die Umsetzung von Regelwerken und Vorschriften zu kontrollieren. "IT-Sicherheit ist ein Prozess und kein Projekt mit definiertem Anfang und Ende", betont IDC-Analystin Thorenz. Es sei wichtig, diesen Prozess auf Dauer zu leben, und dazu gehöre es, regelmäßig über den Stand der Dinge und über Verbesserungsmöglichkeiten zu reden. Zudem sei es bedeutsam, die Einhaltung rechtlicher Vorschriften laufend zu beachten. Aus Sicht von IDC wird dieses Thema in der kommenden Zeit sogar an Wertigkeit noch zunehmen. "Neue gesetzliche Vorschriften, eine verschärfte Verfolgung von Verstößen, aber auch interne Regeln" verlangten es, sich gesetzeskonform zu verhalten. Das sei so komplex, dass viele Unternehmen gar nicht dazu in der Lage seien, diese Aufgaben alleine zu bewältigen. "Scheuen Sie sich nicht, hier auf externe Hilfe zurückzugreifen", rät Thorenz.