IT-Sicherheit: Unwissenheit lässt sich nicht patchen

ACHT SCHRITTE Um das ganzheitliche Sicherheits-Management zu implementieren, sind acht Schritte erforderlich: 1. positive Unterstützung und Teilnahme durch das Top-Management, 2.Erstellen eines Aktionsplans, der auch eingehalten wird, und nicht etwa, dass nach dem Meeting gleich die Graben- und Bereichskämpfe losgehen, 3.den Sicherheitsplan offen kommunizieren, etwa auf kleinen Hausmessen oder Events in der Kantine, 4.Aktualisieren der Informationen, Updates sicherstellen, 5.Team aus IT- und Fachabteilung sowie eine zentrale Abteilung „Information Security“ sowie einen Sicherheitsplan aufsetzen, 6.deutlich machen, dass Sicherheit Pflicht ist, um die „normalen“ User einzubinden, 7.Fortschritt des Sicherheitsprozesses messen; beispielsweise einmal im Quartal einen Mitarbeitertest machen, Anreizsysteme aufbauen, Gehaltbestandteile einbeziehen, 8.Feedback von Mitarbeitern ernst nehmen, sie aufnehmen und Programme verbessern; Sicherheit muss Teil des täglichen Jobs und der Unternehmenskultur werden und gehört mit zur Job-Beschreibung; Sicherheit gehört in die Business-Prozesse. Quelle: NetIQ

Wie sich in der Praxis zeigt, ist der Aufbau eines umfassenden Sicherheits-Managements komplexer als die Einführung einer Standardsoftware – weil es eben alle Mitarbeiter berührt. „Niemand kann sich dem Thema Sicherheit entziehen, denn die Anforderungen werden zu großen Teilen von einer höheren Stelle definiert“, wie Ulrich Weigel von NetIQ weiß. Aufgaben für das Sicherheits-Management ergeben sich etwa aus den Richtlinien wie Sarbanes Oxley (SOX), wonach Unternehmenszahlen stets transparent, nachvollziehbar und revisionssicher sein müssen. Auch die Richtlinien zur Kreditvergabe nach Basel II fordern ein umfassendes IT-Controlling. Ebenso verlangt das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) vom Management, sich verstärkt mit IT-Sicherheit auseinander zu setzen.

Viele Unternehmen reagieren auf diesen äußeren Druck und leiten aus den allgemeinen Richtlinien ihre firmenspezifischen Richtlinien (Policies) ab, in denen sie festlegen, was Sicherheit für ihr Geschäft, ihre Prozesse und Mitarbeiter bedeutet. Policies sind verbindliche Anweisungen, sozusagen das Zementfundament der gesamten Sicherheitsarchitektur, die unabhängig von einer möglichen technischen Umsetzung und einer Organisationsstruktur formuliert werden sollten. Doch bringen dicke Ordner mit Anweisungen wenig, wenn das Wissen darüber im Unternehmen nicht ankommt – die Experten sprechen hier von der Wissenslücke. Die Paperware lädt nicht zum Stöbern ein und verstaubt daher meistens in den Schränken der Sicherheitsexperten.

Wie nun lässt sich ein Sicherheitsprozess im Unternehmen verankern? Wie hält man die Sicherheitsrichtlinien auf dem aktuellen Stand, so dass neue potenzielle Sicherheitslücken berücksichtigt werden, die sich etwa durch mobile IT-Anwendungen und Geräte wie Handys, Blackberrys, PDAs oder Laptops auftun? Wie kann man überwachen, ob Richtlinien überhaupt effektiv sind? Sind sie zu generisch oder spezifisch? „Hier hilft nur, Sicherheitspolicies zu implementieren, die sich aus rechtlichen Vorgaben und den unternehmensspezifischen Sicherheitsbedürfnissen zusammensetzen“, wie IDC-Analystin Liess erklärt. Diese Policies müssten im Unternehmen kommuniziert werden. Darüber hinaus seien Trainings, Schulungen und interne Sicherheits-Workshops für die permanente Aufklärung nötig, um die Mitarbeiter entsprechend zu sensibilisieren.

Wenig bewährt hat sich dabei der Top-Down-Ansatz bei dem – salopp formuliert – das Management dem Unterbau seine Richtlinien und Vorgaben aufs Auge drückt. In den wenigsten Fällen hat die Organisation die Ressourcen, das Geld und die Tools, um abstrakt formulierte Sicherheitsanweisungen mit Leben zu füllen. Mitarbeiter empfinden diese Sicherheitsrichtlinien als persönliche Einschränkung, als Gängelung und als Kontrolle, welche augenscheinlich lediglich die Arbeit erschweren.