Zum Inhalt springen

»IT-Sicherheit nicht auf Endbenutzer abwälzen«

»IT-Sicherheit nicht auf Endbenutzer abwälzen« Die Anforderungen an das operationelle Risikomanagement und die darin enthaltene ­Teilaufgabe IT-Sicherheit werden immer grösser. Jay Heiser, Vice President bei Gartner, ­plädiert im Gespräch mit Jürgen Höfling dafür, die Technik nicht überzubewerten, sondern vor allem die Verantwortlichkeiten für IT-Sicherheit in den Unternehmen richtig zu ­gewichten.

Autor:Redaktion connect-professional • 23.11.2006 • ca. 2:20 Min

Jay Heiser, Vice President bei Gartner: »Operationelles Risikomanagement muss auf jeden Fall aus einer positiven Haltung heraus entwickelt werden«.

Herr Heiser, manchmal habe ich – ich formuliere es einmal etwas überspitzt – den Eindruck, wenn ich Presseaussendungen der Anbieter lese, dass unsere Netze schon dadurch sicherer werden, dass die Unternehmen die Regularien von SOX oder Basel II einhalten?
Das ist natürlich nicht richtig. Das Thema Konformität mit SOX, Basel II oder HIPAA wird seit einiger Zeit völlig überreizt. Und es hat natürlich nur wenig mit Netzwerksicherheit zu tun, sondern mit Risikomanagement….

…was nicht immer sehr konsequent betrieben wird…
Wenn gesetzliche oder auch betriebliche Richtlinien zu überfrachtet sind, werden sie natürlich auch teilweise nicht richtig erfüllt. Das ist in den USA bei HIPAA so, vielleicht passiert das auch mit SOX oder mit entsprechenden EU-Direktiven.

Sind umfangreiche Richtlinien nur etwas für große Unternehmen?
So würde ich das nicht formulieren. Ich würde vielmehr sagen, dass man IT-Sicherheit nicht zu sehr auf die Endnutzer abwälzen darf. Und es geht bei IT-Sicherheit viel weniger um Technik, als uns das die meisten Anbieter glauben machen wollen. Es geht in erster Linie um die Menschen.

Wie soll ich das nun zusammenbringen? Sie sagen, es geht um die Menschen, aber man soll gleichzeitig nicht zu viel auf die Endbenutzer abwälzen?
Ich will damit sagen, dass sich die Risiken in der IT in den letzten Jahren so sehr vermehrt haben und so komplex geworden sind, dass entsprechende Abwehrmaßnahmen in den Unternehmen einfach höher aufgehängt werden müssen. Der oberste Sicherheitsverantwortliche sollte möglichst im Vorstand oder in der Geschäftsführung eines Unternehmens sein, beziehungsweise zu­mindest direkt an ein Vorstandsmitglied berichten.

In der Tendenz plädieren Sie für eine von oben verordnete Sicherheit?
Das ist sicher etwas verkürzt interpretiert. Aber in der Tat meine ich, dass diejenigen, die für das Funktionieren des Geschäftsmodells und der Geschäftsprozesse die Verantwortung tragen, auch direkt für die Sicherheitsvorkehrungen verantwortlich sein sollen.

Im Prinzip sind sie das ja heute. Sie unterschreiben in aller Regel die In­vestitionsanträge.
Das ist zu wenig, die oberste Führungsebene muss unmittelbar in das betriebliche Risikomanagement, und dazu gehört ja die IT, involviert sein. Ich gebe Ihnen einen Vergleich, der vielleicht hinkt, aber doch illustriert, was ich meine. Die Sicherung kritischer Infrastrukturen wie beispielsweise eines Kraftwerks ist ja auch ganz oben angesiedelt.

Aber die oberste Führungsriege hat normalerweise ja gar nicht die Kompetenz, hier Entscheidungen zu treffen.
Technische Details können ja dann die technischen Spezialisten entwickeln. Wichtig ist die Haltung der obersten Führungsebene. Operationelles Risikomanagement muss in jedem Fall aus einer positiven Haltung heraus kommen. Sicherheit als Motor des Geschäfts. Maßnahmen aus einer negativen Haltung heraus, also reine Abwehrmaßnahmen, sind oft kontraproduktiv oder sind zumindest relativ bedeutungslos für die Gesamtsicherheit.

Haben Sie Beispiele?
Ständig zu erneuernde Passwörter zum Beispiel sind eher von begrenztem Nutzen und erzeugen eine Pseudosicherheit. Da gibt es bessere Möglichkeiten.

Wie lässt sich im Sicherheitsmanagement Wichtigeres und Unwichtigeres besser unterscheiden?
Derzeit gibt es zu viele Informationen, die eng verwandt sind, an zu vielen unterschiedlichen Stellen. Das muss zusammengeführt werden an einer zentralen Konsole. Da tut sich einiges zum Positiven hin. Auf jeden Fall müssen die Betriebsabläufe eng mit den IT-Sicherheitsmaßnahmen zusammenspielen. Und dieses Zusammenspiel muss sich nicht nur in einschlägigen Produkten manifestieren, sondern in den Verantwortlichkeiten in der Unternehmensführung. Herr Heiser, vielen Dank für das Gespräch!

Das könnte Sie auch interessieren
A.Lüning
IT ist nicht gleich IT-Security Warum eine fachlich überschätzte IT-Abteilung zum Problem wird
OpenAI und DeepSeek, KI-Modelle
DeepSeek vs. ChatGPT Das Duell der KI-Giganten und seine Folgen für die IT-Sicherheit
Invest
Kommentar von TeleTrusT Investitionen aus Sondervermögen in Cyber-Sicherheit begrüßt
Home Office
Strategien für die Endpoint-Protection Modern Work: IT-Sicherheit im Zeichen flexibler Arbeitsmethoden
Security
Umsetzung des Konzepts "Cyber-Nation" Bundesverband IT-Sicherheit veröffentlicht Forderungskatalog
Zertifikat
Offener Brief an den Bundestag Bundesverband IT-Sicherheit fordert NIS2-Umsetzung
Cloud
Die richtige Cloud-Struktur einsetzen Datensouveränität für mehr Sicherheit
Systemabsturz
Teletrust: „Dogmen, Mythen und Fehler“ Denkfehler bei der Umsetzung von IT-Sicherheit
Mehr passende Artikel
Veranstalter und Messe haben sich geeinigt: Die IFA bleibt bis 2023 in Berlin
Vertrag mit Messe vorzeitig verlängert Die IFA bleibt noch lange in Berlin
Messe Berlin, Smart Country Convention 2024
Impulse für Verwaltung und Regionen Smart Country Convention: Digitalisierung im öffentlichen Sektor
T-Syste,s
Christine Knackfuß-Nikolic mit neuer Aufgabe Chief Sovereignty Officer: T-Systems schafft neue Stelle
Rise AV Mentees
Partnerschaft mit Non-Profit Rise AV gestartet Sennheiser stärkt Diversität in der AV-Branche
Die Gründerinnen von Topi: Estelle Merle und Charlotte Pallua
Finanzspritze für Berliner Fintech Finanzdienstleister PEAC schluckt Topi
Weiter zur Startseite