G 2.66 Unzureichendes Sicherheitsmanagement

Die Vielzahl der Methoden und Vorgehensweisen, wie Informationen in Geschäftsprozessen behandelt, verarbeitet und gespeichert werden, kann schnell dazu führen, dass der Schutzbedarf geschäftskritischer Informationen falsch eingeschätzt wird und diese daher unzureichend geschützt werden. Ein organisiertes Vorgehen bei der Planung, Durchführung und Kontrolle des Sicherheitsprozesses ist daher zwingend erforderlich. Die Erfahrung zeigt, dass es nicht genügt, lediglich die Umsetzung von Sicherheitsmaßnahmen anzuordnen, da die einzelnen Betroffenen, insbesondere die IT-Benutzer, dadurch häufig aufgrund fehlender Fachkenntnisse und unzureichender zeitlicher Ressourcen überfordert sind. In der Konsequenz wird es häufig unterlassen, überhaupt Sicherheitsmaßnahmen umzusetzen, so dass kein befriedigender Sicherheitszustand erreicht wird. Selbst wenn ein angemessenes Sicherheitsniveau einmal erreicht wurde, muss der Sicherheitsprozess ständig angepasst und verbessert werden, um ihn dauerhaft im laufenden Betrieb aufrechtzuerhalten.

Ein unzureichendes Sicherheitsmanagement ist häufig Symptom einer mangelhaften Gesamtorganisation des Sicherheitsprozesses. Beispiele für konkrete Gefährdungen, die aus einem unzureichenden Sicherheitsmanagement resultieren, sind: