Sicherheit aus dem Keller holen

Informationssicherheit als politische Aufgabe

Seite: 2/2

Firmen zum Thema

Managementsysteme als methodischer Rahmen

In diesem Zusammenhang hat sich unter anderem die Einrichtung interdisziplinär besetzter Steuerkreis für Informationssicherheit bewährt. Diesem Steuerkreis kommt eine wichtige Mittlerrolle zu: Das Gremium, dem Vertreter aller Organisationseinheiten angehören sollten, kann die unterschiedlichen Bedürfnisse und Interessen aller Abteilungen berücksichtigen.

Organisationen werden es in Zukunft mit immer komplexeren Angriffen auf IT-Systeme zu tun haben. Alle Szenarien im Vorfeld zu durchdenken ist unmöglich. Ein effektiver Ansatz ist, die Organisation so aufzustellen, dass Regelungen zur Unterstützung von strategischen Zielen definiert, Sicherheitsprozesse und Zuständigkeiten etabliert werden. Im Ernstfall steht dann ausschließlich die inhaltliche Arbeit im Fokus, nicht erst die Klärung von Zuständigkeiten.

Bildergalerie

Es ist Aufgabe der Führungsebene, ein effizientes Steuerungssystem aufzubauen. Werden klare Verantwortlichkeiten benannt, ist auch eine zielgerichtete Ressourcensteuerung möglich. Dies adressiert ­neben den strategischen auch taktische Aspekte, etwa weil die Führung so die Steuerung konkreter Sicherheitsvorfälle gewährleisten kann. Sogenannte Managementsysteme können den notwendigen Rahmen bilden, um Informationssicherheit in der Organisation zu verankern.

Ein international anerkanntes ­Managementsystem ist der Standard ISO 27001. Dieser definiert, wie ein Information Security Management System (ISMS) aussehen sollte. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) knüpft mit seinem Konzept für den „IT-Grundschutz“ an die internationale ISO 27001 an. Das BSI hat mit dem IT-Grundschutz den Standard für Informationssicherheit geschaffen, dessen Einhaltung für Bundes- und die meisten Landesbehörden eine Compliance-Aufgabe und damit verbindlich ist.

Es hat sich bewährt, bei der Steuerung und Umsetzung von Maßnahmen Tools zur Unterstützung zu nutzen. Dabei sollte auf Bewährtes zurückgegriffen werden. Am Markt vorhandene Tools lassen sich an die eigenen Bedürfnisse anpassen und so auch in komplexeren Umgebungen einsetzen. Eine toolgestützte Umsetzung erleichtert auch die Steuerung des ISMS deutlich, die übergreifende Zusammenarbeit in Organisationen wird ebenfalls vereinfacht.

Informationssicherheit geht alle an

Für alle Organisationen ist es an der Zeit, das Thema Informationssicherheit aus dem technischen Ghetto der IT-Abteilung zu befreien. Informationssicherheit ist ein strategisches Thema für die Führungsebene – und ein Alltagsthema für die gesamte Organisation. Wer die Regularien und Gesetze im Bereich Informationssicherheit einhalten will, braucht dazu das Engagement und die Akzeptanz aller Beschäftigten.

Es braucht das Bewusstsein, dass Informations­sicherheit eine zentrale Säule der Organisation ist – ein Fundament, das von Führungskräften und Beschäftigten kontinuierlich gestärkt werden muss. Welchen Grad an Informationssicherheit eine Organisation erreicht, ist letztlich eine Frage ihrer Kultur und aller Beschäftigten: Sicherheit muss (vor-)gelebt werden!

(ID:43804671)