6 Wege, das Management zu überzeugen

Warum IT-Sicherheit scheitert

20.06.2012
Von Marco Filtzinger

Experten gehen davon aus, dass sich der Trojaner "Flame" bereits seit zwei bis acht Jahren im Einsatz befindet, ohne dass er entdeckt worden wäre. Genaue Angaben über die tatsächliche Ausbreitung des Virus werden wohl nie gemacht werden können. Denn die MalwareMalware verfügt über ein "Kill-Modul", das bei Aktivierung durch den Angreifer eine vollständige Entfernung des Virus und aller Spuren auslöst. Alles zu Malware auf CIO.de

Neben den Viren, deren Ziel die Störung des IT-Betriebs und der abhängigen Geschäftsprozesse ist (Stuxnet), besteht eine gesteigerte Bedrohungslage durch Spionageprogramme, deren Zweck die unbemerkte Entwendung von Informationen ist. Um die Verletzung von Vertraulichkeit und Integrität von Daten und Informationen zuverlässig zu erkennen, braucht es deshalb geeignete Kontrollen auf allen Unternehmensebenen, nicht nur im Bereich der IT.

Ohne die Geschäftsführung ist ISMS nicht umsetzbar

Durch das fehlende Bewusstsein auf Top-Managementebene fehlt jedoch das erforderliche Mandat der Geschäftsleitung für die erfolgreiche Einführung eines Informationssicherheits-Managementsystems (ISMS). Projekterfahrungen zeigen: Meist geht die Initiative zur Einführung eines ISMS von der IT-Abteilung aus. Diese beauftragen aus ihrem eigenen Budget interne Teams und externe Berater.

Die Ist-Analyse des bestehenden Sicherheitsmanagements, sowie die Planung und das Design eines bedarfsgerechten ISMS lassen sich in der Regel noch problemlos ohne Beteiligung der Geschäftsleitung umsetzen. Spätestens wenn es an die Umsetzung des ISMS geht, kann sich das fehlende Mandat durch die Unternehmensleitung dann aber verheerend auswirken.

Hier kommt es nicht selten vor, dass ISMS-Einführungen mitten im Projekt ins Stocken geraten oder gänzlich scheitern. Die Umsetzung bedingt immer auch organisatorische Änderungen - z.B. Änderungen der Ablauforganisation oder von Berichtswegen - und die aktive Mitarbeit der Fachabteilungen. Für diese Änderungen sind die Zustimmung und die Unterstützung durch die Leitungsebene unumgänglich.

Zur Startseite