Security im Unternehmen: unterschätztes Risiko

Aktueller Handlungsbedarf

Geklärt werden sollte in der Umfrage ausserdem, welche Sicherheitslösungen die Unternehmen bereits im Einsatz haben bzw. in welchem Bereich konkrete Massnahmen in nächster Zukunft geplant sind. Bereits umgesetzte Massnahmen sind namentlich in den Bereichen Firewall, Awareness, Netzwerk, Disaster Recovery sowie im Bereich der VPNs auszumachen. In den nächsten ein bis zwei Jahren planen die Befragten insbesondere Massnahmen in den Bereichen Disaster Recovery und elektronische Archivierung sowie Monitoring, Virtual Private Network (VPN) und physische Sicherheit (detaillierte Auswertung siehe Grafik).

Wer trägt die Verantwortung?

Ein weiteres Ergebnis der Umfrage: Die Unternehmen sind sich häufig nicht darüber im Klaren, wer intern die Verantwortung für die Informationssicherheit zu tragen hat. Es ist generell fraglich, inwiefern diese im organisatorischen Umfeld überhaupt etabliert ist. Das Interesse an Standards und Prozessen ist verschwindend klein. Eine Ausnahme ist die Awareness: Offensichtlich sind sich die Unternehmen der Notwendigkeit einer Sensibilisierung ihrer Mitarbeiter bewusst.

Dass die IT-Leiter nahezu kein Interesse am Risikomanagement zeigen, gibt allerdings zu Befürchtungen Anlass. Auffallend ist auch, dass der Mehrheit der Befragten keine Sicherheitsvorfälle bekannt sind. Sind bereits sämtliche Prozesse so weit optimiert, dass keine Vorfälle stattfinden können? Das scheint eher unwahrscheinlich.

Archivierung und Datenschutz

Erfreulich ist, dass sich die Befragten über die Wichtigkeit und Notwendigkeit organisatorischer und technischer Massnahmen im Klaren sind und sich für beide Bereiche zu gleichen Teilen interessieren. Interessanterweise sind die elektronische Archivierung sowie der Datenschutz nach Ansicht der Betroffenen besonders relevante Gebiete, obwohl - wie sich aus einer anderen Fragekonstellation ergibt - rechtliche Lösungen sonst eher eine untergeordnete Rolle spielen. Der grösste Teil der Befragten steht im Übrigen der Beschäftigung eines unternehmensexternen Security Officer auf Zeit negativ gegenüber. Ein denkbarer Grund: Bei einem so heiklen Thema fehlt das Vertrauen zu einem Aussenstehenden.

Kosten genau kalkulieren

Abschliessend stellt sich die Frage, inwiefern sich die Interessen der IT-Leiter und der effektive Bedarf der Unternehmen unterscheiden. Diese Diskrepanz müsste durch eine Risikoanalyse evaluiert werden.
Mutmasslich fehlt es häufig an einer Unternehmensstrategie. Bevor sich der IT-Leiter mit den möglichen Bedürfnissen oder konkreten Massnahmen auseinandersetzt, müsste bereits eine Sicherheitspolitik auf Ebene der Geschäftsleitung bestehen, die beschreibend festhält, worin die spezifischen Interessen der Unternehmung zu sehen sind. In einem weiteren Schritt könnten mögliche Risiken mit einer Risikoanalyse identifiziert und anschliessend durch geeignete Massnahmen reduziert werden. Periodische Überprüfungen stellen sicher, dass die Massnahmen über einen längeren Zeitraum die Ziele des Unternehmens untermauern.

Unternehmen, die bereits eine Risikoanalyse durchgeführt haben, sind sich der Risiken bewusst und investieren auch in die erforderlichen Massnahmen. Ausserdem wird so auch eine Kostenabschätzung möglich. Die zur Verfügung stehenden Ressourcen können optimal auf die reellen Bedürfnisse der Unternehmen zugeschnitten werden. Massnahmen, die höhere Kosten verursachen als der aus wirtschaftlicher Sicht erwartete bezifferbare Schaden, sind damit identifizierbar und lassen sich vermeiden. Einzige Ausnahme: Personenschäden, die im Sinne einer guten Unternehmenskultur nicht mit materiellen Werten zu vergleichen sind.

Risikoanalyse als Voraussetzung

In Anbetracht aller Aspekte stellt sich die Frage, wie Unternehmen, die keine Risiken messen und bewerten, überhaupt in geeignete Massnahmen investieren können. Im Blindflug und nach Gutdünken Massnahmen umzusetzen, ergibt weder aus sicherheitstechnischer noch aus wirtschaftlicher Sicht viel Sinn.

Risikoanalysen tragen massgebend dazu bei, den Bedürfnissen der Unternehmen zu entsprechen, und unterstützen diese bei der Auswahl von Sicherheitsdienstleitungen. Sie sind grundlegende Voraussetzung für eine effiziente Bedürfnisabklärung, verhelfen der Corporate Governance zu einer positiven Entwicklung und sorgen nicht zuletzt dafür, dass den gesetzlichen Anforderungen Genüge getan wird.

Vor- und Nachteile von Risikoanalysen

+ Ressourcen lassen sich optimal für die Bedürfnisse einsetzen
+ Verständnis für Abhängigkeiten steigt (Was geschieht, falls System X ausfällt?)
+ Das Sicherheitsbewusstsein im Unternehmen erhöht sich
+ Sicherheitskonzepte lassen sich beim Entscheidungsträger besser rechtfertigen
+ Bestehende Sicherheitsmassnahmen können überprüft werden
+ Schwachstellen werden aufgedeckt, Prozesse können optimiert werden
- Risiken sind teilweise als Annahme
zu treffen und werden nur als mögliche
Szenarien gelistet (Was wäre, wenn .?.?.)
- Eine Risikoanalyse ist nur wirksam, wenn die Ergebnisse weiterverwendet werden (beispielsweise zum Aufbau eines Information-Security-Management-Systems, ISMS, mit periodischer Überprüfung)

KOMMENTARE

Keine Kommentare

KOMMENTAR SCHREIBEN

Vorname: *

Name: *

E-Mail: *

Code eingeben:

Kommentar: *

Alles Pflichfelder, E-Mail-Adresse wird nicht angezeigt.

Die Redaktion hält sich vor, unangebrachte, rassistische oder ehrverletzende Kommentare zu löschen.
Die Verfasser von Leserkommentaren gewähren der IDG Communications AG das unentgeltliche, zeitlich und räumlich unbegrenzte Recht, ihre Leserkommentare ganz oder teilweise auf dem Portal zu verwenden. Eingeschlossen ist zusätzlich das Recht, die Texte in andere Publikationsorgane, Medien oder Bücher zu übernehmen und zur Archivierung abzuspeichern.