IT-Security verlangt nach Strategie

Den idealen Mittelweg finden

Ein unternehmensweites IT-Sicherheitsmanagement muss in relativ überschaubarer Zeit und mit kalkulierbarem Aufwand einzuführen sein, um nicht im Sande zu verlaufen. Grundsätzlich sollte es sich von der strategischen über die konzeptionelle bis hin zur operativen Ebene bewegen. Erstere beschreibt die übergeordnete Richtlinie und involviert das Top-Management, das Ziele und Strategien entwickelt, Verantwortlichkeiten und Kompetenzen festlegt und darüber entscheidet, inwieweit Sicherheit den freien Informationszugriff einschränken darf. Wesentlich ist hier auch die Vorbildfunktion der Unternehmensführung, die nur dann ein unternehmensweites Sicherheitsbewusstsein schaffen kann, wenn sie die geltenden Verhaltensregeln selbst einhält.

Das Management ist für die IT-Sicherheit verantwortlich und muss die entsprechenden Rahmenbedingungen schaffen. Börsennotierte Aktiengesellschaften sind durch das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) seit Mai 1998 gefordert, Risiken - zu denen auch der mangelhafte Schutz von Daten gehört - rechtzeitig zu erkennen. Für andere Unternehmensformen gelten ähnliche Regeln (Siehe NetworkWorld 09/01, Seite 38, "Ohne Firewall kein Kredit?").

In den konzeptionellen Bereich fallen das Risikomanagement - also die Analyse von Werten, Bedrohungen und Schwachstellen - sowie die Planung von Gegenmaßnahmen, Konzepte für den Notfall (Incident Handling und Krisenmanagement), Konfigurations- und Änderungsmanagement sowie die Ausbildung der Mitarbeiter für den Sicherheitsbereich. Diese Vorgaben dienen der operativen Ebene für die Implementierung, den Betrieb und die Wartung sowie für Monitoring und Audits.

In der heutigen Praxis beschränken sich die Sicherheitsaktivitäten in erster Linie auf die untere Ebene. Sicherheitsziele und -strategien existieren meist rudimentär, allerdings nur selten beim oberen Management und oftmals nicht wirklich ausgearbeitet und geprüft.