Connect with us

Hi, what are you looking for?

IT & Telekommunikation

IT-Sicherheit ist eine permanente Angelegenheit

Holger Schellhaas und Manfred Scholz von der Managementberatung TCI Transformation Consulting International GmbH haben vor kurzem einen „Security Kompass“ für Unternehmen entwickelt, der in regelmäßigen Abständen über interessante Sicherheitsthemen berichtet, die im Kontext aktueller IT-Entwicklungen stehen.

Holger Schellhaas

business-on.de sprach mit Holger Schellhaas zu der Notwendigkeit eines „Security Kompass“und die damit verbundene Anforderungen an Unternehmen, sich dieser Herausforderungen zu stellen.

business-on.de: Herr Schellhaas, ist der “Security Kompass” nur für IT-Unternehmen gedacht oder ist dieser branchenübergreifend?

Holger Schellhaas: IT-Sicherheit betrifft grundsätzlich jedes Unternehmen unabhängig von Größe und Betätigungsfeld. Wir wenden uns aber weniger an IT-Unternehmen oder IT-Abteilungen, sondern an die Entscheider in den Fachbereichen. Es geht darum, das Verständnis für Sicherheitsthemen und für Risiken, die insbesondere durch IT-Systeme kommen, zu wecken.

business-on.de: Befasst sich der „Security Kompass“ ausschließlich mit IT-Technologie-Themen?

Holger Schellhaas: Nein. Unser erstes Thema war „Social Media aus der Perspektive der IT-Security“. Da ging es darum, aufzuzeigen, dass den Chancen von Social Media, kollektive Intelligenz zu nutzen und gegenüber klassischen Medien eine neue Qualität des Informationsaustausches zu bieten, auch beträchtliche Risiken gegenüber stehen. Entsprechende organisatorische Verhaltensregeln – Policies und Richtlinien – werden in der Praxis meist stark vernachlässigt.

business-on.de: Welche allgemeine Gefahren lauern in Unternehmen im Hinblick auf die IT-Sicherheit von Daten, Zugriffe und Policies?

Auch fehlerhafte Daten haben Einfluss auf die Geschäftsprozesse

Holger Schellhaas: IT ist mittlerweile in alle Prozesse des Unternehmens integriert und unverzichtbar. Dies führt in der Folge zu einer hohen Abhängigkeit von den eingesetzten Technologien. Dabei ist aber nicht nur die Verfügbarkeit der Systeme und Anwendungen entscheidend – auch fehlerhafte Daten haben direkten Einfluss auf die Geschäftsprozesse und die Qualität der erzeugten Produkte und können sich negativ auf den Geschäftserfolg auswirken.

business-on.de: Wann sollte ich mich in meinem Unternehmen mit dem Thema IT-Security befassen?

Holger Schellhaas: Bevor etwas passiert, also sofort. Viele Unternehmen haben diese Themen in den letzten Jahren dramatisch vernachlässigt und müssen hier massiv aufholen. Die Verschärfung der rechtlichen Rahmenbedingungen und die bereits bei Unterlassung drohenden Haftungen für die Verantwortlichen haben dazu geführt, dass die Themen IT-Sicherheit und IT-Audits zu einer zentralen Managementaufgabe geworden sind.

Wo und wann führt die Verletzung von IT-Sicherheit zu schwerwiegenden Problemen

business-on.de: Können Sie aus der Praxis einige Beispiele nennen, bei den Unternehmen durch die Verletzung von IT-Sicherheit zu schwerwiegende Problemen geführt haben?

Holger Schellhaas: Ich glaube, da genügt ein drastisches Beispiel aus unserer Beratungspraxis: Die Rechtsabteilung hatte einen Vertrag aufgesetzt, der die Bedingungen für die Übernahme eines Mitbewerbers regeln sollte. Die Übernahme sollte aus strategischen Gründen bis zuletzt geheim gehalten und die Anzahl der Personen, die an den Vertragsverhandlungen teilnehmen, auf das Mindestmaß beschränkt werden. Der erste Vertragsentwurf wurde unverschlüsselt per E-Mail versendet. Dabei gab es in der Rechtsabteilung ein Virenproblem – der als „Streng Geheim“ eingestufte Vertragsentwurf wurde an alle Kunden des Unternehmens per E-Mail gesendet!

business-on.de: Wo lauern für Unternehmen die meisten Gefahren (extern/intern)?

Holger Schellhaas: Interessanterweise intern. Und gegen die größten Risiken werden oft nur ungenügende Sicherheitsvorkehrungen getroffen. Bei den meisten mittelständischen Unternehmen gibt es zwar einen Brandschutzbeauftragten, aber keine ausreichenden Strukturen zur Bekämpfung von Diebstahl und Einbruch sowie Korruption und Betrug. Und das, obwohl gerade durch diese Risiken die meisten Schäden entstehen. Das zeigt auch wieder, dass IT-Security weniger ein IT-technisches Problem, sondern eine organisatorische Herausforderung ist.

business-on.de: Wo sollte die Regelung der IT-Sicherheit im Unternehmen verankert sein?

Holger Schellhaas: Bei der Mehrheit der Unternehmen im Mittelstand wird die Verantwortung für IT-Sicherheit in Personalunion durch den IT-Leiter wahrgenommen – die in IT-Sicherheits-Standards geforderte unabhängige Kontrollinstanz fehlt damit. Wir empfehlen den Unternehmen, die zu klein sind, um einen eigenen IT-Sicherheitsbeauftragten zu etablieren, dass die Geschäftsleitung selbst diese Verantwortung übernimmt.

Sicherheit ist eine permanente Angelegenheit

business-on.de: Ist die Einführung der IT-Sicherheit eine einmalige Angelegenheit? Oder: wie sollte Sie im Unternehmen und deren Unternehmenskultur/Unternehmensleitfäden verankert sein?

Holger Schellhaas: IT-Sicherheit ist eine permanente Angelegenheit. Ich glaube, wir müssen lernen, den Umgang mit Risiken in der IT umfassend zu beherrschen. Ein umfassendes Risikomanagement heißt, die Risiken in der IT und aufgrund der IT durch das Aufstellen eines angemessenen Risikobudgets zu bewältigen und einen Prozess zu etablieren, in dem die IT-Risiken regelmäßig identifiziert und auf ihre Geschäftsauswirkungen hin bewertet werden.

business-on.de: Gibt es ein „zu viel“ an IT-Sicherheit und wenn ja, wie kann ich dieses „zu viel“ erkennen?

Holger Schellhaas: Ja, natürlich gibt es Überreaktionen in Unternehmen, so wie es Menschen gibt, die sich gegen alles und jedes versichern. TCI bietet ein spezielles „IT-Security Assessment“ an, um die Mindestanforderungen zu identifizieren. Dabei werden die Risiken und die vom Unternehmen getroffenen Gegenmaßnahmen analysiert, bewertet und entsprechende Empfehlungen für eine angemessenes Rahmenwerk zur IT-Security zur Verminderung der ermittelten Risiken ausgearbeitet.

Social Media und die Risiken für die IT-Sicherheit

business-on.de: Wie sind die neuen Themen „Social Media“, „Bring your own device“ und “Anonymos” in eine IT-Sicherheits-Strategie mit einzubinden?

Holger Schellhaas: Eine IT-Sicherheits-Strategie sollte sich immer an den Risiken in der IT orientieren. Risiken entstehen dann, wenn eine Bedrohung auf eine Schwachstelle im Unternehmen trifft, das heißt, ich muss die potentielle Bedrohung durch neue Entwicklungen wie „Social Media“ und „Bring your own device“ kennen, um die Chancen nutzen zu können. „Anonymous“ ist in anderes Thema: Die Motivation der Gruppe ist nur schwer einzuschätzen – ob es tatsächlich immer um Protest geht oder nur Trittbrettfahrer den Hype ausnützen, um sich zu profilieren. In jedem Fall ist es für Unternehmen, die Opfer der Attacken werden, überaus peinlich. Vor allem, wenn diese im Sinne der Informations-pflicht des Datenschutzgesetzes ihre Kunden über den Datendiebstahl informieren müssen.

business-on.de: Wie wichtig sind in diesem Zusammenhang Zertifizierungen wie ISO/IEC27001 oder Cobit? Und welche Nutzen ergeben sich hieraus für das eigene Unternehmen, bzw. für deren Lieferanten/Kunden.

Holger Schellhaas: Die Notwendigkeit zum Einsatz von den in der IT-Revision international anerkannten IT-Standards wie COBIT (Control Objectives for Information and related Technology) und ISO/IEC27001 wird sich aufgrund eines noch steigenden Datenmissbrauchs sowie der zunehmenden Regulierungen und Vorschriften verstärken. Die Standards stellen anerkannte Steuerungsziele und Rahmenbedingungen für den Aufbau einer Informationssicherheitsarchitektur bereit. Der Nutzen für die Unternehmen ist Transparenz, Kostenersparnis und die Vergleichbarkeit mit anderen Unternehmen. Wir verwenden selbst immer etablierte IT-Standards wie ISO/IEC 27001, COBIT und ITIL (IT Information Library), um das Rad nicht neu erfinden zu müssen.

Holger Schellhaas: ist Managing Director des Münchner Büros der SEC4YOU Advanced IT-Audit Services Ges.m.b.H und Partner der TCI Transformation Consulting International GmbH. Zusammen mit Manfred Scholz, Geschäftsführer der SEC4YOU in Österreich und Partner der TCI, führt er regelmäßige IT-Audits nach ISO27001, COBIT und ITIL durch und unterstützt Unternehmen dabei, die Einhaltung gesetzlicher und regulatorischer Vorgaben nicht nur zu gewährleisten, sondern sie auch in Erfolg umzumünzen.

 

Sascha O. Zöller

Anzeige

Die letzten Beiträge

News

Aktien, Fonds und ETFs haben sich in Zeiten der Niedrigzinsen als beinahe alternativlose Möglichkeit für die Altersvorsorge und den Vermögensaufbau herausgestellt. Inzwischen besitzen auch...

News

Das sind die Auswirkungen auf Wirtschaft und Unternehmen! Der Trend zum intelligenten Handy ist nach wie vor ungebrochen: Ganze 89 Prozent der Deutschen besitzen...

News

Das letzte Jahr war auf allen Ebenen turbulent: Die Digitalisierung wurde maßgeblich vorangetrieben, auch Unternehmen mussten sich flexibel zeigen und interne sowie externe Prozesse...

Lifestyle

Um im Geschäftsleben Erfolg haben zu können, braucht es, wie man oft hört, vor allem Vitamin B. Doch Beziehungen sind längst nicht alles, um...

Finanzen

Mittlerweile gibt es online sowie offline eine Vielzahl von unterschiedlichen Zahlungsmethoden, mit denen Kunden ihre gewünschten Produkte oder Dienstleistungen bezahlen können. Für Händler und...

News

Die Zukunft ist kreativ – auch im Business. Insbesondere gilt diese Maxime für Neugründer, Start-ups und Freelancer, die in den vergangenen Jahren immer mehr...

Weitere Beiträge

Marketing

Webinare, Videokonferenzen und weitere digitale Kommunikationsmedien sind im beruflichen Umfeld in den letzten Monaten zum New Normal geworden. Nun räumt Sascha Zöller (WebinarHacker/-Stratege) mit...

Fachwissen

Bewertungen und Optimierungen von Texten und Sprache auf ihre Wirksamkeit hin, waren in der Vergangenheit immer subjektiv und mit dem Einfluss menschlicher Emotionen verbunden....

Fachwissen Vertrieb

Webinare und Online-Meetings ziehen immer mehr in die Unternehmenswelt ein und beschleunigen die Abläufe. Warum ist das so? Es folgt eine Zusammenfassung der 10...

News

Bridgestone, das weltweit führende Unternehmen der Reifen- und Gummibranche, arbeitet mit Microsoft zusammen, um ein weltweit erstes Überwachungssystem zur Erkennung von Reifenpannen in Echtzeit...

Finanzen

In immer kompetitiveren Märkten ist es sowohl für etablierte Firmen als auch Start-ups wichtig, sich von der Konkurrenz zu differenzieren. Dies geschieht in erster...

Interviews

business-on.de sprach mit Jonathan Gschwendner über die Entwicklung im Bereich Tee. Er gibt spannende Einsichten wie z. B. der Kunde seine Kaufgewohnheiten im Laufe...

Finanzen

Unternehmen haben es nicht immer einfach, vor allem dann, wenn es um Import und Export von Gütern mit dem Ausland geht. Solche Entscheidungen sind...

Erfolgsfaktor Digital

So oder so ähnlich kann es für viele Unternehmen aktuell klingen. Oder doch nur ein Wunschdenken? Diese These wollen Sascha Zöller (Cyber-Zölli) und Oliver...

Anzeige
Send this to a friend