6 Wege, das Management zu überzeugen

Warum IT-Sicherheit scheitert

20.06.2012

Von Marco Filtzinger

Um das Informationssicherheits-Management nachhaltig und breit auf Geschäftsführungsebene zu verankern, sollte der Auftrag an die Unternehmen auf lange Sicht lauten, das operative IT-Risikomanagement mit dem allgemeinen Unternehmensrisikomanagement zu verschmelzen. IT-Risiken werden damit zu einem integralen Bestandteil der Unternehmensrisiken. Diese Entwicklung ist notwendig, da die Sicherheit der IT und der durch die Technik in digitaler Form transportierten, verarbeiteten und gespeicherten Informationen in einem immer größeren Ausmaß den Unternehmenserfolg mitentscheiden.

5 zentrale Gründe fürs Scheitern einer ISMS-Einführung

Selbst in klassischen Produktionsbetrieben gewinnt die Informationssicherheit einen immer höheren Stellenwert, da immer mehr Produktionsanlagen mit klassischen IT-Systeme und dem Internet direkt oder indirekt verbunden sind.

5 zentrale Gründe für das Scheitern einer ISMS-Einführung
1. Mangelnde Einbeziehung der Fachabteilung bei der Etablierung eines ISMS Informationssicherheit kann nur in enger Zusammenarbeit zwischen der IT-Abteilung und den Fachabteilungen sichergestellt werden, da der Wert von Informationen und die Wichtigkeit IT-gestützter Geschäftsprozesse aus einer reinen IT-Sicht nicht eingeschätzt werden kann. Die Fachabteilungen müssen sich bei der Einführung eines ISMS aktiv beteiligen. 2. Zu ehrgeizige Ziele bei der Einführung Zu großer Anwendungsbereich, zu viele Änderungen auf einen Schlag -> Hoher Investitionsaufwand -> Begrenzung des Anwendungsbereichs bei der Einführung (Keimzelle) 3. Mangelndes Risikobewusstsein und Intransparenz Häufig existiert nur eine "gefühlte Sicherheit“. Kennzahlen und Sicherheitsberichte, sowie ein konsequentes Risikomanagement inklusive der Verknüpfung von IT-Risiken mit Business Impact Analysen fehlen dagegen. 4. IT-Risiken sind nicht oder in nicht ausreichendem Maß in das Risikomanagementsystem des Unternehmens eingebunden Der Geschäftsleitung fehlt oft das Verständnis oder die Transparenz für Geschäftsrisiken, die durch den Einsatz von IT bestehen, weil das IT-Risikomanagement kein fester Bestandteil des Unternehmensrisikomanagements ist oder die IT-Risiken für Nicht-IT-Experten nicht nachvollziehbar kommuniziert werden 5. Die oberste Managementebene sieht keine Notwendigkeit für eine ISMS-Einführung Die Planung, Umsetzung und Aufrechterhaltung der IT-Sicherheit wird als Aufgabe und Verantwortlichkeit der IT-Abteilung angesehen. Die Einführung eines ISMS (Umstellung von IT- auf Informationssicherheit) wird in den meisten Fällen von der IT-Abteilung (CIO) initiiert. Die Notwendigkeit eines umfassenden systematischen Ansatzes zur Sicherstellung der Informationssicherheit wird vom Geschäftsführer nicht gesehen, bzw. der Nutzen für diese Investition ist nicht nachvollziehbar.

5 zentrale Gründe für das Scheitern einer ISMS-Einführung

1. Mangelnde Einbeziehung der Fachabteilung bei der Etablierung eines ISMS

Informationssicherheit kann nur in enger Zusammenarbeit zwischen der IT-Abteilung und den Fachabteilungen sichergestellt werden, da der Wert von Informationen und die Wichtigkeit IT-gestützter Geschäftsprozesse aus einer reinen IT-Sicht nicht eingeschätzt werden kann. Die Fachabteilungen müssen sich bei der Einführung eines ISMS aktiv beteiligen.

2. Zu ehrgeizige Ziele bei der Einführung

Zu großer Anwendungsbereich, zu viele Änderungen auf einen Schlag -> Hoher Investitionsaufwand -> Begrenzung des Anwendungsbereichs bei der Einführung (Keimzelle)

3. Mangelndes Risikobewusstsein und Intransparenz

Häufig existiert nur eine "gefühlte Sicherheit“. Kennzahlen und Sicherheitsberichte, sowie ein konsequentes Risikomanagement inklusive der Verknüpfung von IT-Risiken mit Business Impact Analysen fehlen dagegen.

4. IT-Risiken sind nicht oder in nicht ausreichendem Maß in das Risikomanagementsystem des Unternehmens eingebunden

Der Geschäftsleitung fehlt oft das Verständnis oder die Transparenz für Geschäftsrisiken, die durch den Einsatz von IT bestehen, weil das IT-Risikomanagement kein fester Bestandteil des Unternehmensrisikomanagements ist oder die IT-Risiken für Nicht-IT-Experten nicht nachvollziehbar kommuniziert werden

5. Die oberste Managementebene sieht keine Notwendigkeit für eine ISMS-Einführung

Die Planung, Umsetzung und Aufrechterhaltung der IT-Sicherheit wird als Aufgabe und Verantwortlichkeit der IT-Abteilung angesehen. Die Einführung eines ISMS (Umstellung von IT- auf Informationssicherheit) wird in den meisten Fällen von der IT-Abteilung (CIO) initiiert. Die Notwendigkeit eines umfassenden systematischen Ansatzes zur Sicherstellung der Informationssicherheit wird vom Geschäftsführer nicht gesehen, bzw. der Nutzen für diese Investition ist nicht nachvollziehbar.

5 zentrale Gründe fürs Scheitern einer ISMS-Einführung

Per E-Mail versenden

Artikel als PDF kaufen

Über den Autor