Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Office & Kommunikation > ITK-Sicherheitsmanagement strategisch angehen

ITK-Sicherheitsmanagement strategisch angehen

26. September 2008, 0:00 Uhr | Markus Kien

Die Bedrohung der Informations- und Kommunikationstechnologie (ITK) nimmt unvermindert zu. Die ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz dient als Nachweis für ein erfolgreiches Sicherheitsmanagement im Unternehmen und schafft Wettbewerbsvorteile.

Laut Einschätzung des Bundesamts für Sicherheit in der Informationstechnik (BSI) wird die Bedrohungslage in der ITK weiter zunehmen. Das betrifft vor allem Gefährdungen durch Zero-Day-Exploits, Trojanische Pferde, Spyware/Adware, unerwünschte E-Mails (Spam), Identitätsdiebstahl/Social Engineering sowie Ping-Anrufe. Ebenso steigt das Risikopotenzial bei innovativen Technologien, so zum Beispiel für Voice over IP (VoIP), Handy/PDA, asynchrones Javascript und XML (AJAX) sowie Prozess-Steuerungssysteme (SCADA).

Vertraulichkeit, Verfügbarkeit und Integrität sicher stellen

Wer meint, die Thematik nur im technischen Umfeld anzusiedeln, sollte beachten, dass Informationssicherheit mehr und mehr zu einem strategischen Management-Thema geworden ist. Es reicht nicht, Anbieter von Produkten und Systemen in der Pflicht zu sehen. Im täglichen Umfeld ist der (Un-)Sicherheitsfaktor Mensch nicht zu vernachlässigen. Informationssicherheit sollte als Prozess verstanden werden, der sich von der Managementebene bis zur operativen Umsetzung durchzieht – nebst nach gelagerter Qualitätssicherung von einzelnen Maßnahmen. Für ein ganzheitliches ITK-Sicherheitsmanagement gibt es gute Gründe:

  • Kundenanforderungen: Das Thema Vertraulichkeit genießt mittlerweile einen hohen Stellenwert. Vielfach werden sogar anerkannte IT-Sicherheitsstandards von Interessenten und Kunden eingefordert. Informationssicherheit wird damit mehr und mehr zum kritischen Erfolgsfaktor bei der Akquise und zum Qualitätsattribut für die Unternehmertätigkeit.
  • Gesetzliche Regelungen: Die kaufmännischen Sorgfaltspflichten (BGB, StGB) sehen vor, dass Maßnahmen zur Sicherung der Informationstechnik zu ergreifen sind, sofern kritische Geschäftsprozesse stark von der ITK abhängig ist. Auch durch das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) wurden die einschlägigen Gesetze des Gesellschaftsrechts um Regelungen ergänzt, die es erlauben, Schadensersatzansprüche des Unternehmens gegen Vorstände oder Geschäftsführer geltend zu machen. Neben diesen spielt auch das Datenschutz- und Telekommunikationsrecht eine nicht zu vernachlässigende Rolle.
  • Forderungen von Wirtschaftsprüfern, Kreditgebern und Versicherungen: Der Nachweis über ein dokumentiertes und nachweisbares Sicherheitsmanagement erleichtert die Betriebsprüfung und trägt zur Transparenz bei. Insbesondere Banken und Versicherungen achten bei der Vergabe von Krediten und Beitragsberechnungen zunehmend auf eine in Einklang mit Basel II bestehende Sicherheitsstrategie.
  • Unternehmensanspruch: Sicherheitsrelevante Vorfälle sollen reduziert und die Effizienz verbessert werden. Dazu gehört auch die Vermeidung von Imageverlust, das Aufzeigen von Lücken in Organisation, Prozessen und Routinen oder die Schulung administrativer Ressourcen.
  • Möglichkeit von Audits bei Lieferanten und Partnern: Anhand des eigenen – idealerweise international anerkannten – ITK-Sicherheitsstandards ist es durch einen Benchmark umso leichter, Lieferanten und Partner an der bestehenden Norm zu messen und einzuschätzen.

Diese Gründe – und insbesondere das Sicherstellen der Kontinuität von Geschäftsprozessen (Business Continuity) im Krisenfall und die Entwicklung präventiver (Abwehr-)Maßnahmen – zeigen sich deshalb als wichtige und wesentliche Managementaufgabe.

 

Vincenzo Abate, Direktor BUW Technology Consult
Vincenzo Abate, Direktor BUW Technology Consult
© BUW Consulting

Vincenzo Abate, Direktor BUW Technology Consult: „Das BSI erteilte der BUW Holding ein ISO 27001-Zertifikat auf der Basis von IT-Grundschutz und bescheinigt damit von staatlicher Stelle die erfolgreiche Realisierung sämtlicher nach IT-Grundschutz erforderlichen Maßnahmen. Für BUW ist das ISO 27001-Zertifikat auf Basis IT-Grundschutz noch aus einem weiteren Grund ein wichtiges Qualitätsmerkmal: Der Geschäftsbereich BUW Technology Consult bietet in seinem Portfolio unter anderem selbst Security-Consulting-Lösungen an – von umfangreichen Sicherheitsanalysen (Audits) bis zur Entwicklung eines Managementsystems für Informationssicherheit auf Basis von IT-Grundschutz.“

ISO 27001

 

Das BSI ist zentraler IT-Sicherheitsdienstleister des Bundes und stellt durch Grundlagenarbeit im Bereich der IT-Sicherheit eine tragende Säule der inneren Sicherheit in Deutschland dar. Die IT-Grundschutz-Vorgehensweise stellt zusammen mit den etwa 4.000 Seiten umfassenden IT-Grundschutz- Katalogen und dessen Empfehlungen von Standard-Sicherheitsmaßnahmen inzwischen einen De-facto-Standard für IT-Sicherheit dar. Die ISO 27001 auf der Basis von IT-Grundschutz bezieht sich dabei auf die Steuerung sowie auf den Umgang mit Informationssicherheit in einer Institution oder auf ausgesuchte Teile einer Institution – wie beispielsweise einzelnen Services – und ist eine besondere Ausprägung der Zertifizierung nach dem weltweit gültigen Standard ISO/IEC 27001.

 

Autor:

Andreas G. Weyert ist lizenzierter BSI IT-Grundschutz- Auditor und Security Consult bei BUW Consulting.

Jetzt kostenfreie Newsletter bestellen!

Matchmaker+
Xelion GmbH

Xelion GmbH
Rittal GmbH & Co. KG

Rittal GmbH & Co. KG
d.velop AG

d.velop AG
SIM-Networks (Netversor GmbH)

SIM-Networks (Netversor GmbH)
NFON AG

NFON AG
ECOM Electronic Components Trading GmbH

ECOM Electronic Components Trading GmbH