IT-Sicherheit ist Chefsache
“IT-Sicherheit ist bei uns Chefsache” – kommt Ihnen der Satz bekannt vor? Falls nicht, dann geht es Ihnen wahrscheinlich wie über 80% aller kleinen und mittelständischen Unternehmen. Noch immer ist es üblich, IT-Sicherheit und die damit verbundenen Tätigkeiten allein auf die IT umzumünzen. Immerhin ist dies Bestandteil des Wortes IT-Sicherheit. In vielen kleinen und mittelständischen Unternehmen gilt daher auch heute noch: Entweder die IT nimmt sich der Thematik an, oder niemand tut es.
Das ist ein schweres Versäumnis, denn den Angreifer kümmern Verantwortlichkeiten an dieser Stelle wenig.
Warum ist IT-Sicherheit kein (reines) IT-Problem?
1) IT-Sicherheit ist keine rein (IT-)technische Aufgabe
Zum einen ist die Reduktion auf die reine Technik an dieser Stelle zu kurz gedacht. Eine sichere IT-Landschaft entsteht nicht allein durch technische Lösungen und Tools, sondern auch durch Konzeptionierung, Risikomanagement und Integration in Geschäftsprozesse. Und diese im Detail, insbesondere hinsichtlich des Schutzbedarfs bewerten zu können, ist nicht Aufgabe der IT.
2) Die Priorität der IT liegt anders
In der IT hat man oft mit einem bunten Blumenstrauß an unterschiedlichen Aufgaben und Projekten zu tun. Allen voran die störungsfreie Funktion aller bestehenden Systeme. Dies führt zum einen dazu, dass die Priorität selten auf IT-Sicherheits-Projekte gelegt wird. Wer kennt noch IT-Abteilungen, die chronisch unterfordert sind? Zum anderen stehen alle Changes der IT-Sicherheit immer in Konkurrenz zur (kurzfristigen) Verfügbarkeit. Frei nach dem Motto „never change a running system“ werden so sicherheitskritische Updates auf die lange Bank geschoben und Änderungen an Systemen nur ungerne proaktiv angegangen.
Daher sind Unternehmen auch schlecht beraten die Rolle des IT-Sicherheitsbeauftragten unter der IT aufzuhängen. Stichwort: Interessenskonflikt.
3) Verantwortung lässt sich nicht delegieren
Im Gegensatz zur Verantwortlichkeit lässt sich Verantwortung niemals abgeben – sie obliegt immer der Geschäftsleitung. Befasst man sich in der Führungsebene gar nicht mit dem Thema IT-Sicherheit, so trägt man Verantwortung für ein Thema, dessen Problematik man unter Umständen nicht vollständig erfasst hat und dessen Tragweite für die langfristige Existenz des Unternehmens unerkannt bleiben. Hier bildet sich der Schulterschluss zum ersten Punkt: ohne Bewertung der kritischen Daten und Assets, ohne Erkenntnis über Risiken der IT-gestützen Prozesse und Systeme, kann es keine korrekte Einschätzung geben.
Was bedeutet es, wenn IT-Sicherheit zur Chefsache erklärt wird?
Die Geschäftsleitung muss dem Thema Priorität einräumen. Das bedeutet nicht nur, dass man auf höchster Ebene ein Budget dafür schafft, sondern auch, dass man im Prozess drinbleibt. Dabei muss und sollte man nicht in operative Prozesse oder Projekte direkt eingreifen. Keinem ist geholfen wenn der Chef den Rollout einer neuen Antivirenlösung mit überwacht oder bei der Konfiguration der Firewallregeln unterstützt. Stattdessen sind auf höchster Ebene wichtige Entscheidungen zu treffen, die im Nachgang eine zielgerichtete Verbesserung der IT-Sicherheit ermöglichen, indem an den richtigen Stellschrauben gedreht wird. Dadurch setzt man einen zyklischen Prozess in Gang, der die IT-Sicherheit im eigenen Unternehmen einer ständigen Kontrolle und Verbesserung unterzieht.
Wie sieht ein Prozess zur Verbesserung der IT-Sicherheit im Unternehmen aus?
- Es ist ein Commitment in der Leitungsebene vorhanden, der alle weiteren Maßnahmen untermauert und den Weg Richtung Umsetzung freimacht
- IT-Risiken werden in einem Prozess regelmäßig ermittelt. Zu jedem Risiko liegt am Ende des Prozesses eine Entscheidung vor, ob und wie mit ihr umgegangen wird
- Der aktuelle Stand der IT-Sicherheit auf Basis der aktuellen Sicherheitslage wird regelmäßig auf den Prüfstand gestellt. Die Ermittlung findet insbesondere unter Berücksichtigung der im vorherigen Schritt ermittelten Risiken statt
- Aus dem ermittelten IST-Zustand und den herausgearbeiteten Risiken wird ein Zielbild mit priorisierten Maßnahmen zur Verbesserung gemacht.
- Hier beginnt die operative Arbeit: Alle gefundenen Mängel, Schwachstellen und Verbesserungspotenziale werden projektorientiert abgearbeitet, wodurch die dahinterliegenden Risiken stückweise verringert und schlussendlich geschlossen werden.
- Den Prozess wiederholen: Am Ende stünde man in einer idealen Welt vor seinem gegen Ransomware und Angriffe perfekt abgesicherten Unternehmen. Leider sind wir nicht in einer perfekten Welt – Angriffe verändern sich ständig und auch die eigenen Geschäftsprozesse, Daten und Werte sind in ständigem Wandel. Dadurch ist es notwendig, den Prozess regelmäßig zu wiederholen und permanent am Ball zu bleiben.
Keine einfache Aufgabe – so viel ist sicher. Doch am schwersten ist der Anfang. Wie man den meistern kann, indem man sich eines einfachen Basischecks bedient, folgt in Teil 2 in der kommenden Woche!