Modell zur Absicherung des Unternehmens

Jeder Versuch ein Unternehmen abzusichern, muss gut durchdacht und geplant sein. Improvisierte Sicherheitsmaßnahmen können ein Unternehmen nicht wirklich sicher machen. Angemessene Sicherheit ist ein komplexer, fortlaufender Prozeß. Ohne geeignete Vorbereitung muß jedes Sicherheitsprogramm scheitern, denn es wird Lücken aufweisen.

Das proaktive Modell !

Um nun ein Sicherheitsmodell für ein Unternehmen implementieren zu können muss man zumindest:

• Das Unternehmen beurteilen !
• Eine Risikoanalyse durchführen !
• Die digitalen Vermögenswerte ermitteln !
• Diese Werte schützen !
• Schwachstellen erkennen und beseitigen !
• Richtlinien entwickeln und implementieren !
• Die Mitarbeiter schulen und
• all diese Schritte fortwährend wiederholen !

Es beginnt mit einem Störfall ...

Es ist immer wieder interessant die Argumentationen der Verantwortlichen zu hören, wenn man nach einem Sicherheitsvorfall in einem Unternehmen zu einem Krisengespräch zusammensitzt. Eine gewisse Anspannung geht von den verantwortlichen Mitarbeitern aus, wenn eine Führungsperson mit am Tisch sitzt. Die IT-Mitarbeiter wissen vielleicht grob, dass es im Netzwerk Schwachstellen gibt und haben diese selbstständig als vernachlässigbar eingestuft und nichts weiter unternommen. Die Geschäftsführung ging andererseits davon aus, daß die IT-Mitarbeiter einen guten Job machen und sich natürlich auch um alle Sicherheitsbelange kümmern, was auch immer damit gemeint sein mag ...

Was sagt uns das ? Es findet kein Informationsaustausch statt, es fehlen definierte Verantwortlichkeiten, es fehlt ein Rahmen, der die Sicherheitsanforderungen des Unternehmens wiederspiegelt !

Geschäftsführer und IT-Sicherheit

Wie sieht die Geschäftsführung eines Unternehmens das Thema IT-Sicherheit ?
Es gibt die Gruppe der Geschäftsführer, die sich dem Thema komplett verschließen. Sie tun so als ob sie das nichts anginge.
Die zweite Gruppe gibt vor das Problem erkannt zu haben, sieht aber für sein Unternehmen keinerlei Bedrohungspotential.
Weiterhin gibt es eine Gruppe von Geschäftsführern, die bei der Diskussion verunsichert sind. Sie haben sich um dieses Thema bisher nun so gar nicht kümmern können. Fragen tauchen auf:
Welche Kosten entstehen hierdurch "wobei eine Wertschöpfung für das Unternehmen nicht immer gesehen wird."
Welche Maßnahmen sind für mein Unternehmen sinnvoll und wer kann mir das sagen ? Wie kann ich beurteilen, ob mir ein externer Dienstleister eine wirklich sinnvolle und kostengünstige Lösung anbietet ?
Muß ich vielleicht kritische Unternehmensdaten an externe Dienstleiter weitergeben ?
Wer kann und soll das Ganze später verwalten und welche weiteren Kosten entstehen dadurch ?
Die letzte Gruppe ist die der IT-Sicherheits- und Überwachungsfanatiker.

Mißstände im Unternehmen

Mißstände und Fehler die immer wieder auffallen, bezogen auf die IT-Gesamtstruktur im Unternehmen !

· Es besteht kein ausreichender Informationsaustausch zwischen den IT-Mitarbeitern und der Geschäftsführung. Damit begründet sich ein eklatantes Mißverständnis für Prioritäten, Aufgaben, Entwicklungsschritte und Ziele der gesamten IT-Infrastruktur. Für die Etablierung einer "dynamischen Sicherheitsstrategie" ist dies ein Ausschlußkriterium.
· Die gesamte IT-Organisation, die Koordinierung der Arbeitseinsätze und ein Zeitmanagement ist oft nicht vorhanden oder unzureichend. Ziele werden nicht erreicht und wichtige Arbeiten nicht regelmäßig ausgeführt. (z.B. Prüfung der Datensicherung, des AntiViren-Systems und der Firewall-Logs)
· Die Qualifikation der IT-Mitarbeiter für die Durchführung wichtiger Tätigkeiten ist oft nicht ausreichend.
· Fehlendes Verantwortungsbewußtsein der IT-Mitarbeiter und/oder auch der Geschäftsführer sorgen oft für die gefürchteten "IT-Gaus".

IT-Mitarbeiter sind oft frustriert über zuviel Arbeit, ein zu geringes Gehalt und über das schlechte Ansehen der Abteilung im eigenen Unternehmen. Eine individuelle Förderung des einzelnen Mitarbeiters durch das Unternehmen fehlt und dieser verweigert somit seinen persönlichen Einsatz und seine persönliche Fortbildung zum Wohle des Unternehmens.