M 3.44 Sensibilisierung des Managements für IT-Sicherheit
Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement
Eine nachdrückliche und aktive Unterstützung durch die Behörden- bzw. Unternehmensleitung ist essentiell, damit Sicherheitskampagnen für die Mitarbeiter erfolgreich sein können. Daher ist es unabdingbar, dass vor dem Beginn von Sensibilisierungsmaßnahmen zu IT-Sicherheit für Mitarbeiter das Management für Sicherheitsfragen sensibilisiert wird.
Die wichtigsten Informationen, die dem Management dabei geliefert werden müssen sind:
-
Darstellung der Sicherheitsrisiken und damit verbundenen Kosten
Die Aufmerksamkeit der Entscheidungsträger kann z. B. durch Berichte über Sicherheitsvorfälle erreicht werden, die die eigene Institution ebenso betreffen könnten (aus Institutionen derselben Branche oder mit ähnlicher IT). Beispiele konkreter Sicherheitsvorfälle aus der Nachbarschaft oder bei vergleichbaren Institutionen können die Rückendeckung des Managements erleichtern. Solche Beispiele finden sich mittlerweile nicht nur in Fachzeitschriften, sondern auch in Tageszeitungen (z. B. nach Hackerangriffen oder Virenvorfällen) und natürlich in großer Menge im Internet. Tatsächliche Schadensfälle aus der Vergangenheit aus der eigenen Institution können ebenfalls zu diesem Ziel eingesetzt werden.
Die Darstellung von finanziellen Schäden in konkreten Zahlen ist erfahrungsgemäß schwierig. Statistiken und Auswertungen, wie sie beispielsweise von den Polizeien (BKA, FBI) oder Sicherheitsfachzeitschriften von Zeit zu Zeit veröffentlicht werden, bieten in manchen Fällen geeignete Informationen. -
Auswirkungen auf die Geschäftsprozesse
Des Weiteren ist es wichtig, dass die Auswirkungen von IT-Sicherheitsvorfällen auf die geschäftskritischen Prozesse geschildert werden. Mögliche Abhängigkeiten von IT-Anwendungen und IT-Systemen sind der Geschäftsführung nicht immer bekannt.
Eine Auflistung von möglichen Sicherheitsrisiken reicht jedoch in der Regel nicht aus, um die Unterstützung des Managements zu gewinnen. Eine ausgewogene Argumentation sollte darüber hinaus auch die folgenden Punkte beinhalten. -
Rechtliche Sicherheitsanforderungen
Gesetze und andere juristische Vorgaben können ebenfalls Anforderungen an die IT-Sicherheit in einer Institution nach sich ziehen, hierzu gehören beispielsweise Datenschutzgesetze, Sozialgesetzbuch, Handelsgesetzbuch, Bürgerliches Gesetzbuch, Strafgesetzbuch, etc.
Viele gesetzliche Formulierungen zu IT-Sicherheitsanforderungen sind allgemein gehalten und können unter Umständen unverbindlich erscheinen.
In der Tat lassen sich hieraus jedoch konkrete Verpflichtungen für die Gewährleistung eines angemessenen IT-Sicherheitsniveaus ableiten. Eine Institution muss untersuchen, welche Regularien und Gesetze im Einzelnen Fall zur Wirkung kommen können. -
Vorteile einer Zertifizierung
Eine Zertifizierung der IT-Sicherheitsprozesse bestätigt offiziell die hohe Wertschätzung der IT-Sicherheit in einer Institution. Das Vertrauen der Geschäftspartner und der Öffentlichkeit in die IT der Institution wird dadurch gestärkt. Eine Zertifizierung kann außerdem bei Ausschreibungen Wettbewerbsvorteile mit sich bringen. -
Standard-Vorgehensweisen zur IT-Sicherheit für die Branche
Eine zusätzliche Motivation für den Einsatz von IT-Sicherheitsstandards ist das Verhalten anderer ähnlicher Organisationen. Informationen zu Branchen-Standards können aus Fachzeitschriften der Branchen, aus Veranstaltungen oder durch Kontakte zu Kammern und Verbände bezogen werden.
Ein geeigneter Einstieg für die Sensibilisierung der Leitungsebene ist ein kurzer Bericht, gefolgt von einer Präsentation, die mit aktuellen Beispielen (extern und intern) das Thema IT-Sicherheit erläutert. Hierbei sollte beispielsweise aufgezeigt werden, dass technische Maßnahmen ohne gleichzeitige personelle und organisatorische Maßnahmen sinnlos sind. Um die Unterstützung des Managements zu bekommen, ist es hilfreich, den Nutzen solcher Maßnahmen aufzuzeigen.
Durch die Präsentation von Sicherheitsrisiken und Lösungsalternativen kann das Management für die Notwendigkeit der Umsetzung von IT-Sicherheitsmaßnahmen überzeugt werden.
IT-Sicherheit wird erfahrungsgemäß in einer Institution nur dann erfolgreich umgesetzt, wenn alle Vorgesetzten hier mit gutem Beispiel vorangehen. Sinnvoll ist es daher, alle Führungskräfte explizit darauf zu verpflichten, ihre Mitarbeiter auf die Einhaltung der IT-Sicherheitsvorgaben hinzuweisen und zu sensibilisieren.
Ergänzende Kontrollfragen:
- Unterstützt die Leitungsebene die Durchführung von Sensibilisierungsmaßnahmen zu IT-Sicherheit in ausreichendem Maße?
- Geht die Initiative für IT-Sicherheit von der Behörden- bzw. Unternehmensleitung aus?