M 2.336 Übernahme der Gesamtverantwortung für IT-Sicherheit durch die Leitungsebene
Verantwortlich für Initiierung: Behörden-/Unternehmensleitung
Verantwortlich für Umsetzung: Behörden-/Unternehmensleitung
Die Führung und Lenkung eines Unternehmens oder einer Behörde und die damit verbundenen Leitungsaufgaben beinhalten eine hohe Verantwortung. Diese Verantwortung bezieht sich nicht nur auf den Grad der Zielerreichung wie beispielsweise den Geschäftserfolg, sondern auch auf die Früherkennung und Minimierung von möglichen Risiken für den Betrieb. Dazu gehören neben anderen Risiken auch solche, die aus unzureichender IT-Sicherheit entstehen.
Ein angemessenes IT-Sicherheitsniveau zu gewährleisten, ist eine komplexe Aufgabe. Dies erfordert ein systematisches Vorgehen, einen kontinuierlichen und zielgerichteten IT-Sicherheitsprozess. Es ist Aufgabe der Leitungsebene jeder Institution, diesen Prozess zu initiieren, zu steuern und zu kontrollieren. Bei kleineren Institutionen wird dies häufig durch ein Mitglied der Leitungsebene persönlich übernommen. In mittleren und großen Institutionen wird die Aufgabe "IT-Sicherheit" an eine dedizierte Person, den IT-Sicherheitsbeauftragten, delegiert. Je nach Größe und Art der Institution werden noch weitere Personen mit Sicherheitsaufgaben betraut, die diese ausschließlich oder zusätzlich zu anderen Aufgaben wahrnehmen. Hierfür ist es sinnvoll, eine geeignete Organisationsstruktur aufzubauen, um die verschiedenen Teilaufgaben im Bereich Sicherheit adäquat zu steuern. Dabei verbleibt die Gesamtverantwortung immer bei der Leitungsebene, unabhängig davon, an wie viele Personen Sicherheitsaufgaben delegiert wurden.
Die Geschäftsführung sollte regelmäßig über mögliche Risiken und Konsequenzen aufgrund fehlender IT-Sicherheit aufgeklärt werden. Dazu ist es empfehlenswert, die Leitungsebene auf folgende Punkte aufmerksam zu machen (siehe auch M 3.44 Sensibilisierung des Managements für IT-Sicherheit):
- Darstellung der Sicherheitsrisiken und der damit verbundenen Kosten
- Auswirkungen von IT-Sicherheitsvorfällen auf die kritischen Geschäftsprozesse
- Gesetzliche und vertragliche Sicherheitsanforderungen
- Übersicht über Standard-Vorgehensweisen zur IT-Sicherheit für die Branche
Auch wenn die Leitungsebene für die Erreichung der Sicherheitsziele verantwortlich ist, muss der Sicherheitsprozess von allen Beschäftigten in einer Institution mitgetragen und mitgestaltet werden. Daher sollten folgende Prinzipien eingehalten werden:
-
Übernahme der Gesamtverantwortung für IT-Sicherheit
- Die Initiative für IT-Sicherheit geht von der Behörden- bzw. Unternehmensleitung aus. Die Aufgabe "IT-Sicherheit" wird durch die Behörden- bzw. Unternehmensleitung aktiv unterstützt.
-
IT-Sicherheit integrieren
- IT-Sicherheit muss in alle Prozesse und Projekte integriert werden, die IT nutzen. Darüber hinaus müssen alle Beteiligten über den IT-Sicherheitsprozess ausreichend informiert und motiviert werden, damit sie diesen auch einhalten.
-
Zuständigkeiten definieren
- Die Behörden- bzw. Unternehmensleitung benennt die für IT-Sicherheit zuständigen Mitarbeiter und stattet sie mit den erforderlichen Kompetenzen und Ressourcen aus.
-
Lenken und Überwachen
- Die Leitungsebene muss aktiv den IT-Sicherheitsprozess initiieren, lenken und überwachen. Dazu muss das Management die Auswirkungen von IT-Sicherheitsvorfällen auf die Geschäftstätigkeit kennen, Sicherheitsziele vorgeben und Rahmenbedingungen schaffen, die es ermöglichen, diese Ziele zu erreichen.
-
Angemessene Ziele setzen
- Absolute IT-Sicherheit gibt es nicht. Deswegen ist es wichtig, die Sicherheitsziele so zu setzen, dass sie einerseits mit einem vertretbaren Aufwand (Personal, Zeit, Finanzmittel) erreichbar sind und andererseits die Sicherheitsrisiken auf ein akzeptables Maß reduziert werden.
-
Vorbildfunktion
- Die Leitungsebene übernimmt auch im Bereich IT-Sicherheit eine Vorbildfunktion. Dazu gehört unter anderem, dass auch die Leitungsebene alle vorgegebenen Sicherheitsregeln beachtet.
-
Kontinuierliche Verbesserung
- Die Angemessenheit und Wirksamkeit aller Elemente des IT-Sicherheitsmanagements muss ständig überprüft werden. Identifizierte Schwachstellen und Verbesserungsmöglichkeiten müssen dann auch konsequent behoben bzw. umgesetzt werden. Wichtig ist auch, zukünftige Entwicklungen, veränderte Rahmenbedingungen und potentielle Gefährdungen frühzeitig zu erkennen.
-
Kommunikation und Wissen
- Die Leitungsebene und das IT-Sicherheitsmanagement müssen die Mitarbeiter motivieren und für ausreichende Schulungs- und Sensibilisierungsmaßnahmen sorgen. Mitarbeiter müssen vor allem über Sinn und Zweck sowohl von technischen IT-Sicherheitsmaßnahmen als auch von organisatorischen Vorgaben aufgeklärt werden. IT-Anwender sollten in die Umsetzungsplanung von Maßnahmen eingezogen werden. Damit können sie Ideen einbringen und die Praxistauglichkeit von Sicherheitsmaßnahmen beurteilen.
Ergänzende Kontrollfragen:
- Hat die Behörden- bzw. Unternehmensleitung deutlich sichtbar die Verantwortung für IT-Sicherheit übernommen?
- Hat die Behörden- bzw. Unternehmensleitung Sicherheitsverantwortliche benannt?