G 2.107 Unwirtschaftlicher Umgang mit Ressourcen durch unzureichendes IT-Sicherheitsmanagement
IT-Sicherheit ist eine Voraussetzung für die Gewährleistung der einwandfreien Funktion einer Institution. Gleichzeitig ist aber aufgrund der Vielfältigkeit dieses Themas eine absolute IT-Sicherheit praktisch nicht erreichbar. Aus diesem Grund ist es essenziell, die richtigen Prioritäten zu setzen und an denjenigen Stellen zu investieren, die den größten Mehrwert für die Institution bringen. Dies ist eine Entscheidung, die nur mit Hilfe eines institutionsübergreifenden IT-Sicherheitsmanagements getroffen werden kann.
Durch ein IT-Sicherheitsmanagement werden als erstes die tatsächlichen Sicherheitsanforderungen der Institution festgelegt und die Risiken bei ihrer Nichteinhaltung betrachtet. Auf dieser Basis muss entschieden werden, ob
- Ressourcen in Schutzmaßnahmen investiert werden,
- durch Umstrukturierung oder Verlagerung von Aufgaben sich der Aufwand für den Schutz auf ein vertretbares Maß reduziert,
- Risiken akzeptiert werden.
Diese Überlegungen sind für das Vorgehen in Bezug auf IT-Sicherheit grundlegend und müssen in entsprechenden Dokumentationen festgehalten werden. Fehlendes oder unzureichendes IT-Sicherheitsmanagement kann dementsprechend zu folgenden Fehlern führen:
- Oft wird in teure Sicherheitslösungen investiert, ohne dass eine Basis an notwendigen organisatorischen Regelungen vorhanden ist. Nicht geklärte Zuständigkeiten und Verantwortlichkeiten können trotz teurer Investitionen zu schweren IT-Sicherheitsvorfällen führen.
- Vorfall aus der Praxis: In einem Unternehmen wurde eine teure Firewall beschafft, aber die Administratoren unzureichend geschult und Verantwortlichkeiten nicht klar zugewiesen. Dadurch wurde die Firewall nicht sicher und für die Sicherheitsbedürfnisse des Unternehmens angemessen konfiguriert. Da immer wieder Dienste durch unterschiedliche Administratoren freigeschaltet wurden, blieb die Funktionalität weitgehend ungenutzt und es kam zu Sicherheitsvorfällen.
- Es wird in den Bereichen in IT-Sicherheit investiert, die entsprechende Mittel zur Verfügung haben und deren Verantwortliche für IT-Sicherheit besonders sensibilisiert sind. Andere Bereiche, die vielleicht für die Erfüllung der Fachaufgaben wichtiger sind, werden aufgrund von knappen Mitteln oder Desinteresse der Verantwortlichen vernachlässigt.
- Vorfall aus der Praxis: Um die Verfügbarkeit der Anwendung "Buchhaltung" zu erhöhen, wurde ein teures Cluster-System angeschafft. Die für den Kundendienst notwendigen Anwendungen laufen dagegen aufgrund von knappen finanziellen Mitteln in dem Bereich immer noch auf einem alten Server, der jederzeit ausfallen könnte. Die Verfügbarkeit der Kundendienst-Anwendung ist für das Unternehmen wichtiger, leider wurden aber in diesem Fall die Prioritäten bei der Mittelvergabe nicht berücksichtigt.
- Bei Investitionen in einzelnen Teilbereichen ist es erforderlich, das gesamte Sicherheitskonzept zu betrachten.
- Vorfall aus der Praxis: Eine Abteilung wird mit einer neuen Sicherheitslösung ausgerüstet. Die Stromversorgung bleibt jedoch weiterhin sehr schlecht gesichert, da eine alte und lange nicht getestete USV eingesetzt wird. Dadurch bleiben im Gesamtsystem erhebliche Sicherheitslücken.
- Durch die einseitige Erhöhung des Schutzes einzelner Grundwerte kann sich der Gesamtschutz verringern.
- Vorfall aus der Praxis: Nach dem Einsatz einer hochwertigen Verschlüsselungsroutine bei der Rechnungserstellung wurde die Geschwindigkeit der Arbeitsabläufe sehr schwer beeinträchtigt. Es wurde nicht berücksichtigt, dass die Verfügbarkeit der Systeme viel wichtiger war als ihre Vertraulichkeit.
- Ein inhomogener und unkoordinierter Einsatz von IT-Produkten kann zu hohem finanziellen und personellen Ressourceneinsatz führen.
- Vorfall aus der Praxis: In einem großen Unternehmen gab es mehrere Bereiche, die sich mit Informationssicherheit beschäftigt haben. Es stellte sich heraus, dass von zwei Bereichen unabhängig voneinander jeweils Firmenlizenzen eines Viren-Suchprogramms eingekauft wurden. Im gesamten Unternehmen fanden sich zudem verschiedene Verschlüsselungsprodukte für den selben Einsatz. Dies erschwerte die Administration und führte zu einer erhöhten Fehleranfälligkeit.