Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 2.339 Wirtschaftlicher Einsatz von Ressourcen für IT-Sicherheit - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 2.339 Wirtschaftlicher Einsatz von Ressourcen für IT-Sicherheit

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung

Verantwortlich für Umsetzung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter

Damit die gesteckten IT-Sicherheitsziele erreicht werden können, müssen dafür angemessene Ressourcen bereitgestellt werden.

Bereitstellung von Ressourcen für den IT-Betrieb

Eine Grundvoraussetzung für IT-Sicherheit ist ein gut funktionierender IT-Betrieb. Für den IT-Betrieb müssen ausreichende Ressourcen zur Verfügung gestellt werden. Typische Probleme des IT-Betriebs (knappes Budget, überlastete Administratoren und eine unstrukturierte oder schlecht gewartete IT-Landschaft) müssen in der Regel zuerst gelöst werden, damit die eigentlichen IT-Sicherheitsmaßnahmen wirksam und effizient umgesetzt werden können. Ob die bereitgestellten Ressourcen ausreichen, zeigt sich beispielsweise daran, ob die IT-Benutzer angemessen betreut werden oder ob alle Hard- und Software wie vorgesehen getestet wird.

Bereitstellung von Ressourcen für IT-Sicherheit

IT-Sicherheit erfordert ausreichende finanzielle und personelle Ressourcen sowie eine geeignete Ausstattung. Diese müssen dem IT-Sicherheitsmanagement-Team von der Behörden- bzw. Unternehmensleitung in angemessenem Umfang bereitgestellt werden.

Es ist zu empfehlen, dass das IT-Sicherheitsmanagement-Team anhand der IT-Sicherheitsziele die für die Umsetzung aller identifizierten Maßnahmen benötigten Ressourcen aufzeigt. Dies dient einerseits als Grundlage für Management-Entscheidungen über die Zuteilung der Ressourcen und andererseits zur Festlegung der Projektpläne und der Umsetzungszeiträume.

Zugriff auf externe Ressourcen

Die internen IT-Sicherheitsexperten sind häufig mit ihren Routinetätigkeiten so ausgelastet, dass ihnen bei neuen Aufgaben oder Entwicklungen die Zeit fehlt, um alle sicherheitsrelevanten Einflussfaktoren zu analysieren oder um Sicherheitslösungen umzusetzen. Hierzu gehören beispielsweise geänderte gesetzliche Anforderungen, die Einführung neuer IT-Systeme sowie die Verfolgung der aktuellen technischen Entwicklungen. Um Arbeitsspitzen bewältigen zu können, müssen entweder intern zusätzliche Mitarbeiter herangezogen werden, was meistens schwierig ist, oder es muss auf externe Experten zurückgegriffen werden. Bei Bedarf muss dies von den internen IT-Sicherheitsexperten aufgezeigt werden, damit die Leitungsebene die erforderlichen Ressourcen bereit stellt.

Es ist sicherzustellen, dass alle erforderlichen Sicherheitsmaßnahmen umgesetzt werden, sei es durch den Rückgriff auf externe oder interne Kräfte.

Ressourcen für den IT-Sicherheitsbeauftragten

Ohne eine funktionierende IT-Sicherheitsorganisation nützen die teuersten technischen Lösungen nichts. Die Erfahrung zeigt, dass die Berufung eines IT-Sicherheitsbeauftragten die effektivste IT-Sicherheitsmaßnahme ist. Nach der Bestellung eines IT-Sicherheitsbeauftragten geht in den meisten Organisationen die Anzahl an IT-Sicherheitsvorfällen signifikant zurück. Damit der IT-Sicherheitsbeauftragte eine tatsächliche Verbesserung des IT-Sicherheitsniveaus erreichen kann, muss er

In kleineren Organisationen ist es möglich, dass ein Mitarbeiter die Aufgaben des IT-Sicherheitsbeauftragten in Personalunion neben seinen eigentlichen Tätigkeiten wahrnimmt.

Ressourcen für das IT-Sicherheitsmanagement-Team

Ein IT-Sicherheitsmanagement-Team sollte immer dann eingerichtet werden, wenn der IT-Sicherheitsbeauftragte alleine nicht mehr alle Geschäftsprozesse und Projekte betreuen kann, also die Organisation eine gewisse Größenordnung überschritten hat.

Die erstmalige Einrichtung des IT-Sicherheitsprozesses ist meist mit einem erhöhten Aufwand verbunden. Häufig ist es deshalb zweckmäßig, dem IT-Sicherheitsmanagement-Team für diese Phase zusätzliche personelle Ressourcen zur Verfügung zu stellen.

Wirtschaftlichkeitsaspekte in der IT-Sicherheitsstrategie

Die IT-Sicherheitsstrategie sollte von Beginn an auch Wirtschaftlichkeitsaspekte berücksichtigen. Bei der Auswahl der umzusetzenden IT-Sicherheitsmaßnahmen sollten die zur Verfügung stehenden Ressourcen berücksichtigt werden. Wenn für bestimmte Maßnahmen nicht ausreichend technische oder personelle Unterstützung vorhanden ist, muss die Strategie geändert werden. In vielen Fällen lassen sich andere Maßnahmen finden, die zu einem ähnlichen Sicherheitsniveau führen. Wenn aber die formulierten Sicherheitsziele und die vorhandenen finanziellen, technischen oder personellen Möglichkeiten zu weit auseinander liegen, müssen sowohl die Sicherheitsziele als auch die Geschäftsprozesse grundsätzlich überdacht werden. In diesem Fall muss auch die Leitungsebene über diese Diskrepanz informiert werden, damit sie gegebenenfalls Korrekturmaßnahmen veranlassen kann.

Bei der Festlegung von IT-Sicherheitsmaßnahmen sollten auch immer die für die Umsetzung benötigten personellen und finanziellen Ressourcen konkret genannt werden. Hierzu gehört die Benennung von Verantwortlichen und anderen Ansprechpartnern, aber auch die Festlegung genauer Terminpläne und der zu beschaffenden Materialien. Es empfiehlt sich außerdem, bei allen geplanten Sicherheitsmaßnahmen zu dokumentieren, ob die für IT-Sicherheit eingeplanten Ressourcen termingerecht bereitgestellt wurden und was die Gründe für Projektabweichungen waren. Nur so lassen sich nachhaltige Verbesserungen erreichen und Störungen vermeiden.

Ressourcen für die Überprüfung der IT-Sicherheit

Alle IT-Sicherheitsmaßnahmen müssen regelmäßig auf ihre Wirksamkeit und Eignung geprüft werden. Auch hierfür müssen ausreichende Ressourcen bereitgestellt werden. Generell sollten nicht diejenigen, die Sicherheitsmaßnahmen konzipiert haben, deren Wirksamkeit und Eignung prüfen. Hierfür kann auch externer Sachverstand hinzugezogen werden, um Betriebsblindheit zu vermeiden.

Die Frage, ob ausreichende Ressourcen für IT-Sicherheit bereitgestellt werden, ist wesentlich schwieriger zu beantworten als die Überprüfung von rein technischen Aspekten.

Ergänzende Kontrollfragen: