IT-Sicherheit aus Deutschland
Chancen für deutsche Security-Anbieter
Die "Digitale Agenda 2014 - 2017" der deutschen Bundesregierung zählt die Verbesserung der Sicherheit und den Schutz der IT-Systeme und Dienste zu ihren drei Kernzielen. Gemeinsam mit der Wirtschaft möchte die Regierung die deutsche Technologiekompetenz für vertrauenswürdige IT stärken und dauerhaft sichern.
Gründe dafür nennt die Regierung auch: Die Spionageabwehr und der Wirtschaftsschutz machen nach Ansicht des Bundesinnenministeriums eine starke Souveränität Deutschlands erforderlich. Der sogenannte No-Spy-Erlass sieht für Vergabeverfahren vor, dass jeder Bieter Erklärungen abgibt, die heimliche Abflüsse schützenswerter Informationen an ausländische Nachrichtendienste betreffen.
- Formalisieren Sie Risiko-Management und IT-Security
Gießen Sie Ihr Risiko- und IT-Sicherheits-Management in eine wiederhol- und messbare Form. Diese umfasst in der Regel vier Phasen: Governance, Planung, Aufbau und Betrieb. - Messen Sie den Reifegrad
Nutzen Sie eine Reifegradskala, um Planungslücken und ungenutzte Chancen des IT-Security-Programms zu finden. Solch eine Skala ist überdies ein gutes Mittel, um solchen Entscheidungsträgern das Thema zu veranschaulichen, die mit Technologie nicht immer etwas anfangen können. - Fahren sie risikobasierte Ansätze
Risiko-Management heißt auch, dass es den perfekten Schutz nicht gibt. Unternehmen sollten bewusste Entscheidungen über ihr Handeln und Nichthandeln fällen, was das Eingehen von Risiken betrifft. Das betrifft nicht nur die IT-Abteilungen, sondern vor allem auch die Nicht-IT-Bereiche. Über allem steht, das Risiko-Manager vorbeugende Ansätze befolgen, die Risiken von Anfang an minimieren. Schließlich sollen sie die Risiken steuern, und sich nicht von diesen steuern lassen. - Nutzen Sie Kennzahlen
Wer im Risiko-Management tätig ist, muss Kennzahlen definieren, an denen er seine Geschäftsprozesse ausrichten kann. Das sind zum einen KPIs (Key Performance Indicators), zum anderen KRIs (Key Risk Indicators). Letztere sollten sich aber nicht nur auf IT-zentrierte Kennzahlen konzentrieren - sonst besteht die Gefahr, zu meinen, dass die Risiken ausschließlich von der IT ausgehen. - Passen Sie Ihre KRIs den KPIs an
Die meisten Unternehmen arbeiten mit einer Fülle von Risiko- und Security-Kennzahlen. Auch wenn diese für interne Prozesse extrem wertvoll sind, haben sie doch meist nur einen geringen Wert für die Unternehmensentscheider. Gute KRIs sind deshalb einfach, messbar und haben einen direkten Einfluss auf viele der KPIs. - Entkoppeln Sie operative Messgrößen von der Vorstandskommunikation
Verwenden Sie keine operativen Messgrößen auf Vorstandsebene. Entscheidern fehlt das Hintergrundwissen und das Training, mit diesen in einem Business-Kontext umzugehen. - Kommunizieren Sie klar, was geht und was nicht
In einer risikobasierten Welt will eine Business-orientierte Zuhörerschaft genau wissen, welche Risiken drohen, welche Haltung ein Unternehmen dazu hat und was dagegen unternommen wird. Beantworten Sie diese Fragen für jeden verständlich, haben Sie den "Kampf" schon halb gewonnen.
Viele Anzeichen und Initiativen sprechen somit dafür, dass IT- Lösungen aus Deutschland eine steigende Bedeutung erhalten. Dies unterstreicht auch der Internetreport 2014 von eco und die PAC-Studie "IT made in Germany - Was wollen deutsche Unternehmen?"
Deutsche Anwender und deutsche Lösungen
Laut der zuvor genannten PAC-Studie achten deutsche Unternehmen insbesondere auf die Einhaltung deutscher Datenschutzrichtlinien (99 Prozent) und Verträge nach deutschem Recht (96 Prozent) sowie auf die Standorte der Anbieter. Für 97 Prozent der Befragten ist es wichtig, ob sich die Rechenzentren in Deutschland befinden, und 94 Prozent legen Wert darauf, dass der Hauptsitz des Unternehmens in Deutschland liegt. Besonders sensibel sind IT-Security-Lösungen, so dass hier eine starke Position deutscher Anbieter zu erwarten ist.
"Die NSA-Debatte zeigt Auswirkungen auf Verwaltungs- und Rechtsetzungsebene. Insbesondere vertrauenswürdige IT-Sicherheitstechnologie 'made in Germany' wird politisch aufgewertet", so Thorsten Urbanski, Leiter der Initiative "IT Security made in Germany" des Bundesverbandes IT-Sicherheit TeleTrust.
Unternehmen, die das TeleTrust-Zeichen "IT Security made in Germany" tragen, müssen als Kriterien insbesondere ihren Hauptsitz in Deutschland haben, vertrauenswürdige IT-Sicherheitslösungen anbieten, die IT-Sicherheitsforschung und -entwicklung in Deutschland durchführen, den Anforderungen des deutschen Datenschutzrechtes genügen, und ihre Lösungen dürfen keine versteckten Zugänge enthalten (keine "Backdoors").