Ohne funktionierende IT-Systeme ist die Abwicklung von Geschäftsprozessen nicht mehr vorstellbar. Aufgrund der steigenden Abhängigkeit der Unternehmen von der IT hat sich IT-Sicherheit zum unternehmenskritischen Erfolgsfaktor entwickelt. Eine Erkenntnis, die allerdings häufig noch nicht in das Bewusstsein der Geschäftsleitung vorgedrungen ist. Gerade in wirtschaftlich schlechten Zeiten liegt es nahe, am IT-Budget zu sparen - im harten Gegensatz dazu verschärfen sich die Risikoszenarien im Umfeld der IT spürbar. Innerhalb dieses Spannungsfelds verbleiben wesentliche Sorgfaltspflichten beim IT-Verantwortlichen, der grundsätzlich vor zwei Herausforderungen steht. Für ihn gilt es zum einen, der Geschäftsleitung die Sicherheitsanforderungen verständlich zu machen, um Akzeptanz für notwendige Maßnahmen zu schaffen.
Für Akzeptanz sorgen
Zum anderen hat er im täglichen Betrieb dafür zu sorgen, dass die IT-Sicherheit in allen komplexen Teilbereichen ein angemessenes Niveau aufweist. Nur mit einem strukturierten und prozessbasierenden Vorgehen sind diese Aufgaben zu meistern.
IT-Anwendungen und -Systeme hielten über Jahrzehnte hinweg und in einem schleichenden Prozess Einzug in die Unternehmen. Aus diesem Grund entspricht die Sichtweise der Geschäftsleitung auf die IT nur selten dem Ist-Zustand, was dazu führt, dass reelle IT-Risiken allenfalls als virtuelle Bedrohungen für die eigene Organisation wahrgenommen werden. Erschwerend hinzu kommt die technische Komplexität der IT-Themen. Spätestens, wenn es um die Budgetgenehmigung für Sicherheitsmaßnahmen geht, wird der Dialog zwischen IT- und Geschäftsleitung schwierig. Argumentiert die IT-Abteilung mit typischen Angstszenarien, etwa Hacker-Angriffen oder Gesetzesverstößen, wird sie schnell als "Panikmacher" oder "Verhinderer" abgestempelt. Die Herausforderung an dieser Stelle ist es, eine gemeinsame Kommunikationsbasis zu schaffen und der Geschäftsleitung die IT-Abhängigkeit des Unternehmens transparent zu machen. Es muss also gelingen, die Beeinträchtigung der IT als operationelles Unternehmensrisiko darzustellen. Der Fokus ist dabei nicht auf die möglichen Ursachen, sondern auf die potenziellen Auswirkungen zu legen. Das ist der erste Schritt auf dem Weg, die IT-Sicherheit in der Firmenstrategie zu verankern.
Um dieses Ziel zu erreichen, gilt es zunächst, in Zusammenarbeit mit der Geschäftsleitung die elementaren Geschäftsprozesse zu definieren und zu priorisieren. In einem nächsten Schritt werden diesen Abläufen unter Einbeziehung der jeweiligen Fachabteilungen alle benötigten IT-Anwendungen zugeordnet. Ausgehend von der Priorität des Prozesses wird dann der Schutzbedarf für die einzelnen Anwendungen und die damit verarbeiteten Daten eruiert. Dabei gilt es, die Anforderungen an Vertraulichkeit, Integrität und Verfügbarkeit zu bewerten. Besonders plakativ gegenüber der Geschäftsleitung wirken die oft hohen Anforderungen der Fachabteilungen an die Verfügbarkeit einzelner IT-Anwendungen. In diesem Schritt ist auch zu identifizieren und dokumentieren, ob bei der Datenverarbeitung rechtliche Belange wie etwa der Datenschutz tangiert werden.
Auf Basis dieser Informationen lassen sich gegenüber der Geschäftsleitung fundierte Aussagen zum Stellenwert der IT im Unternehmen treffen. Indikator für die Abhängigkeit eines Geschäftsprozesses von der IT ist beispielsweise die Anzahl der benötigten Anwendungen in Verbindung mit dem geforderten Schutzbedarf für die jeweilige Anwendung.
Die daraus gewonnenen strategischen Erkenntnisse bezüglich der Priorität der IT im Unternehmen sowie das erforderliche Sicherheitsniveau sollten abschließend durch die Geschäftsleitung in einer "IT-Sicherheitsleitlinie" kommuniziert werden. Auf diese Weise signalisiert das Management einerseits sein Bewusstsein für den Stellenwert der IT und andererseits seine zentrale Verantwortung für die IT-Sicherheit. Die Verbindung zur Unternehmensstrategie ist somit hergestellt.