23.02.2006, 14:21 Uhr
Mit Sicherheit zum Geschäftserfolg
Um eine langfristig erfolgreiche Informationssicherheit zu gewährleisten, ist die Unternehmensführung gefordert, eine umfassende und vom Management wie auch von allen Mitarbeitenden gelebte Sicherheitskultur zu etablieren.
Grafik 1: Ein ganzheitlicher Ansatz im Spannungsfeld zwischen Awareness, Prozess und Technik führt zu einem hohen Grad an Informationssicherheit.
Stefan Burau ist Leiter IT Quality Management bei der Privatbank Clariden.
Durch die rasant zunehmende Leistungsfähigkeit von Computern, Endgeräten, Speichern und Übertragungsnetzen sowie der weltweiten Vernetzung von Rechnersystemen können grosse Mengen von Informationen sehr rasch verbreitet und verarbeitet werden. Vertrauen in die Sicherheit, Verfügbarkeit, Integrität und Vertraulichkeit der Informationen sowie Verlässlichkeit betrieblicher Informationssysteme sind heute unerlässliche Grundbedingungen für den Geschäftserfolg. Ein sorgloser Umgang mit Informationen und Informatikmitteln kann zu grossen Schäden wie Image- und Vertrauensverlust führen. Heute sind mehr als 80000 Viren bekannt. Täglich werden es mehr. Der technische Schutz alleine ist dieser Flut von Neuschöpfungen und Mutanten längst nicht mehr gewachsen. Das Problem verschärft sich zusätzlich, weil die Benutzer einerseits keine Sicherheitsexperten sind und weil die Nutzung von neuen Technologien wie Mobilgeräten und Internetanwendungen andererseits für zusätzliche Gefahrenquellen sorgen.
Security im Wandel
Die Informationssicherheit ist in den letzten Jahren einem starken Wandel ausgesetzt gewesen. Grund dafür waren neben der steigenden Bedrohungsvielfalt auch Vorfälle, die in den Medien für Schlagzeilen und in den betroffenen Unternehmungen für erhebliche Aufregung sorgten. So verfolgten viele Unternehmen den Ansatz, ihre Informationen und Daten nur durch technische Massnahmen zu schützen. Informationssicherheit kann heute - gerade im Bankenumfeld - nicht isoliert ohne Einbezug der Menschen, der Prozesse so wie der Geschäftsziele betrachtet werden. Ein hoher Grad an Informationssicherheit kann nur erreicht werden, wenn wir nicht nur von Technologie reden. Vielmehr ist ein ganzheitlicher Ansatz in einem Spannungsfeld zwischen Bewusstseinsbildung (Awareness), Organisation (Prozesse) sowie Technologie notwendig (siehe Grafik 1). Die Grundlage für einen integralen Sicherheitsansatz einer Unternehmung bildet eine auf der Geschäftspolitik abgestützte Sicherheitspolitik.
Sicherheitspolitik
Informationen stellen für Unternehmungen und insbesondere für Banken einen bedeutenden Wert dar. Aus der Bearbeitung von Informationen erfolgt eine Wertschöpfung, welche einen kritischen Erfolgsfaktor im Wettbewerb darstellt. Aus diesem Grund müssen diverse Vorkehrungen zum Schutz der Informationen umgesetzt werden. Massgebend für die Informationssicherheit innerhalb einer Bank ist die Information Security Policy und der so genannte Code of Conduct. Beide formulierten Grundsätze sind wesentliche Bestandteile eines Mitarbeiterhandbuchs. Sie haben zum Ziel, Informationen und insbesondere Kundendaten zu schützen. Damit heute branchenspezifische Vorschriften und Richtlinien mit den internen Grundsätzen im Einklang sind, sind Informationssysteme so zu entwerfen und einzusetzen, dass
Informationen für Unberechtigte nicht einsehbar sind (Stichworte: Bank- und Geschäftsgeheimnis),
ohne Berechtigung Daten nicht erfasst, verändert oder gelöscht werden können,
Informationen jederzeit - auch nach Katastrophenfällen - in angemessener Zeit wieder verfügbar sind und,
Änderungen an ihnen mit einem Kontrollprozess durchgeführt werden können.
Die Vertraulichkeit ist gewahrt und Informationen können nicht an unberechtigte Dritte abfliessen.
Die Verfügbarkeit von Informationen ist für die tägliche Bearbeitung sichergestellt.
Die Integrität der Informationen wird nicht verletzt.
Die Nicht-Abstreitbarkeit ist gesichert.
Eine Nachvollziehbarkeit (Audit Trail) ist jederzeit möglich.
Sicherheitskultur
Stefan Burau
