![[Porträt-Foto: Wieland Alge]](images/08-2-006-1-400.jpg)
Dr. Wieland Alge (phion): "Statt positivem Bewusstsein sorgen Regularien für ein schlechteres Image der Security. Statistisch gesehen erhöhen sie vermutlich dennoch die Informationssicherheit."
Sind durch die Diskussion über Regularien und ihre Einhaltung wichtige zusätzliche Ressourcen für die IT-Security freigesetzt worden? Ist der Stellenwert der Informations-Sicherheit auf der Management-Ebene gestiegen? Oder bindet vielmehr das "Ringen" um und Dokumentieren von Konformität (weiterhin) knappe Ressourcen, die besser anders eingesetzt würden? Hat "Compliance" womöglich sogar zu einer (überflüssigen?) Bürokratisierung der Sicherheit geführt?
Um die Auswirkungen der "Compliance-Debatte" zu ergründen hat die <kes> Ende März bei Beratern, Anbietern von Sicherheitsprodukten, Forschungsinstituten und Verbänden nachgefragt – die Rückmeldequote zeigte sich ungewohnt gering, wobei offen bleiben muss, ob das der Jahreszeit oder dem Thema geschuldet war. Gerne würden wir zusätzlich auch Erfahrungen und Kommentare von Verantwortlichen und Beauftragten für Informations-Sicherheit, Revisoren sowie Geschäftsführern ergänzen. Falls Sie sich zum Thema äußern möchten, freuen wir uns über Ihre Zuschrift an redaktion@kes.de – bei entsprechender Beteiligung bringen wir gerne eine Fortsetzung dieses Beitrags.
Einig waren sich alle Antwortenden unserer Umfrage, dass die Diskussion um Compliance zu einem hohen Druck auf die Betroffenen geführt hat – bei unterschiedlicher Bewertung der Konsequenzen. Sascha Pfeiffer, Principal Security-Consultant bei Sophos, fasst zusammen: "Ob sie wollen oder nicht: Unternehmen müssen in entsprechende Prozesse und Technologien investieren, wenn sie nicht von Gerichten oder der Börsenaufsicht belangt werden und bei ihren Geschäftspartnern, Kunden und Mitarbeitern in Verruf geraten wollen. Mit dem Thema Compliance und den damit einhergehenden Diskussionen um die Einhaltung rechtlicher Vorgaben hat die IT-Sicherheit in Unternehmen an Brisanz gewonnen. Der Druck, geeignete Vorkehrungen gegen Datenmissbrauch und -diebstahl zu treffen, hat enorm zugenommen. Nicht mehr nur IT-Administratoren fühlen sich verantwortlich, Systeme und Netzwerke zu schützen, sondern auch Geschäftsführer, die die IT-Security vorher noch eher stiefmütterlich behandelt haben, sind jetzt verpflichtet, entsprechende Maßnahmen durchzusetzen."
Auch Ulrich Weigel, Chief-Security-Strategist bei Attachmate, sieht eine positive Rückkopplung auf das Management: "In vielen Unternehmen wird das Thema Compliance deutlich strategischer angegangen. Da sich Compliance auf (fast) alle Bereiche eines Unternehmens bezieht, also nicht ausschließlich auf die IT, hat sich das Verständnis für die Probleme durchaus verbessert. Durch den Druck, der durch die Compliance-Vorgaben ausgeübt wird, ist auch das Verständnis in den betroffenen Unternehmen gestiegen, speziell auf der Management-Ebene. Allerdings besteht weiterhin das Problem, das IT-Abteilungen über 'ihre Compliance' immer noch sehr technisch berichten – und das führt häufig zu Verständnisproblemen."
Eine Zwickmühle schildert hingegen phion-CEO Dr. Wieland Alge: "Die Hoffnung, dass Compliance im Management mehr Bewusstsein für Sicherheitsfragen schafft, ist irreführend. Vorschriften sind unbeliebt. Statt positivem Bewusstsein sorgen Regularien für ein schlechteres Image der Security. Am Ende der Compliance-Spirale steht die Einstellung: Was sich nicht vermeiden lässt, wird gemacht. Aber: Was nicht reguliert ist, wird erst recht nicht gemacht." Der Druck, zu handeln, habe dabei allerdings nicht nur wünschenswerte Folgen: "Compliance-Verletzungen gehören heute zu den größten Gesamtrisiken für Unternehmen. Nicht ohne Grund sind daher oft die besten Köpfe mit Compliance befasst – und damit abgelenkt von den tatsächlichen, akuten Bedrohungen ihres Netzwerks. Auf Managementebene lässt sich zudem manchmal die vermeintliche Gewissheit feststellen, dass bereits mit der Erfüllung von Vorschriften Informationssicherheit erreicht wird. Aber erreicht ein Autofahrer mit dem Anlegen des Sicherheitsgurtes, der Anbringung einer TÜV-Plakette und der Einrichtung einer Freisprecheinrichtung unfallfreies Fahren? Nein!"
Dr. Wieland Alge (phion): "Statt positivem Bewusstsein sorgen Regularien für ein schlechteres Image der Security. Statistisch gesehen erhöhen sie vermutlich dennoch die Informationssicherheit."
Ein beginnendes Umdenken in der Unternehmensführung verzeichnet Peter Knapp, Vorstandsvorsitzender der Nationalen Initiative für Informations- und Internetsicherheit NIFIS e. V.: "Das spüren wir in unserer Organisation ganz deutlich aufgrund der gestiegenen Nachfrage nach Beratung und Unterstützung. Das Gute an der derzeitigen Diskussion ist, dass sich das verantwortliche Management mit diesem Thema beschäftigen muss und auch zu realisieren beginnt, dass die Informationssicherheit eines Unternehmens mit dem Management steht und fällt. Informationssicherheit beginnt im 'Kopf' eines Unternehmens oder einer Organisation und muss Bestandteil von Change-, Security- und Risikomanagement sein."
Leider führe das jedoch (zumindest noch) nicht zu gesteigerter Investitionsbereitschaft, bedauert Knapp: "Obwohl die Quantität und die Qualität an IT-System-Bedrohungen stetig (messbar) zunehmen, halten die (scheinbar nicht messbaren) Kosten – also der Compliance-Aufwand – Entscheider davon ab, in Informationssicherheit zu investieren. Durch die Diskussion um Compliance ist nach unserer Erfahrung noch keine bedeutende Ressourcenaufstockung im Security-Bereich erfolgt. Dabei sind Informationssicherheit und Datenschutz für Compliance wichtiger denn je! Außerdem ist die Wirtschaftlichkeit derartiger Investitionen über Restrisiko- und Return-on-Invest-Betrachtungen durchaus darstellbar."
![[Porträt-Foto: Peter Knapp]](images/08-2-006-2-400.jpg)
Peter Knapp (NIFIS): "Durch die Diskussion um Compliance ist nach unserer Erfahrung noch keine bedeutende Ressourcenaufstockung im Security-Bereich erfolgt."
Fehlanzeige in Sachen Extra-Mittel konstatiert gleichermaßen Jens Westphal, Bereichsleiter Security-Consulting und Network-Security bei secunet: "Die Bereitschaft, zusätzliche Ressourcen freizusetzen, ist selten vorhanden. Häufiger versuchen Unternehmen mit vorhandenen Mitarbeitern aus den operativen Bereichen Compliance-Anforderungen zu bewältigen." Und das obwohl diese Anforderungen vom Management in der Regel sehr ernst genommen würden – nicht zuletzt, da hier persönliche Haftung ins Spiel kommt.
Ramon Mörl, Geschäftsführer von itWatch, beobachtet zudem eine Spaltung der Unternehmenslandschaft durch die Compliance-Diskussion: "Unternehmen, deren Sicherheits- und Risikomanagement schon immer gut aufgestellt waren, freuen sich darüber, dass ihre bisherigen Anstrengungen, die Prozesse effizient zu organisieren, nach außen sichtbare Früchte tragen. Somit trennt eine korrekt geführte Compliance-Diskussion die Spreu vom Weizen: Unternehmen, welche sich in der Vergangenheit mit der Sicherheit nur deshalb punktuell und unter Druck beschäftigt haben, weil ein Wirtschaftsprüfer oder andere Gremien etwas 'verlangt' haben, müssen nun nacharbeiten."
Mörl betont, dass IT-Sicherheit und ein funktionierendes Risikomanagement immer im ureigensten Interesse der Unternehmen liegen: "So gelebt wird die jeweils gültige Sicherheits-Richtlinie zu jeder Zeit auch die Unternehmenskultur reflektieren und damit die Kosten/Nutzen-Seite effizient im Sinne der Wertschöpfung des Unternehmens abbilden. Die aktuelle Presse mit der Diskussion um Datenverluste in Liechtenstein oder Wirtschaftsspionage aus China ist bei dieser Betrachtung nur ein Tagesthema, denn die Unternehmenskultur ändert sich nicht, weil beispielsweise Angriffe, die bisher von Wettbewerbern erwartet wurden, jetzt auch gehäuft aus China zu erwarten sind. Sehr wohl sollten diese Tagesthemen aber in den aktiven Prozessen verarbeitet werden: Eine Vogel-Strauss-Politik ist dabei erfolglos!" Als Erfolgsrezept nennt Mörl richtige Organisation und Prozessdenken: "Die Begeisterung über unsere Lösungen, die dabei helfen die Sicherheitskultur eines Unternehmens abzubilden und spontan auf eine neue Bedrohungslage zu reagieren, ist bei Kunden mit gut organisierten Prozessen besonders hoch, da sie die Mehrwerte der Lösungen schnell nutzen können. Diese Kunden haben auch keine Probleme bei der Compliance!"
![[Porträt-Foto: Ramon Mörl]](images/08-2-006-3-400.jpg)
Ramon Mörl (itWatch): "Die Compliance-Diskussion legt den Finger mancherorts in eine offene Wunde – Unternehmen, die Sicherheit zuvor nur punktuell betrieben haben, müssen nun nacharbeiten."
Ähnliches empfiehlt auch Ulrich Weigel (Attachmate): "Sicherheit muss organisiert und strukturiert durchgeführt werden, sonst arbeitet man nur offensichtliche Probleme ab. Ein strategischer Sicherheits-Prozess, begleitet von einer organisatorischen Sicherheits-Struktur, ist für den Erfolg unerlässlich. Ein solcher Sicherheitsprozess sollte Menschen (Richtlinien), Prozesse und Technologie umfassen. Leider bewegt sich viel ausschließlich auf der technologischen Ebene, was dazu führt, dass es immer wieder neue – häufig organisatorische – Sicherheitsprobleme gibt."
Das lasse sich umgehen, indem man Mitarbeiter aller Business-Units involviert, statt Sicherheit "von oben" zu verordnen. Letztlich seien alle beteiligt, die Zugang zur IT haben. In den kommenden fünf bis acht Jahren werde Sicherheit zum Bestandteil der Aufgaben jedes einzelnen Mitarbeiters, schließt Weigel: "Jeder Mitarbeiter, der Zugriff auf Daten im Unternehmen hat, muss vorgegebene Sicherheitsrichtlinien befolgen und diese umsetzen. Die IT-Security-Abteilung wird durch die Verlagerung zu mehr Eigenverantwortung aller Mitarbeiter nicht überflüssig – eher das Gegenteil ist zu erwarten."
Die richtige Mischung ist für Peter Knapp (NIFIS) ebenfalls entscheidend: "Es gibt auf dem Weg zur Einführung und zur Umsetzung von Compliance-Richtlinien sehr viele rechtliche Herausforderungen für die Betroffenen: die institutionellen Anforderungen, die (berufs)fachlichen Vorgaben und die gesetzlichen Auflagen. Nach unserer Meinung sollte hierfür ein fachübergreifendes Projektteam aus IT- und Fachabteilung zusammengestellt werden und der Projektleiter nicht aus der IT stammen."
![[Porträt-Foto: ]](images/08-2-006-4-400.jpg)
Sascha Pfeiffer (Sophos): "Vielen Managern ist nicht klar, dass Compliance nicht nur eine Frage technischer Vorkehrungen ist, sondern strategische Grundsatzentscheidungen voraussetzt."
Vor reiner Technikgläubigkeit warnt Sascha Pfeiffer (Sophos): "Bei vielen Managern herrscht die Auffassung vor, mit dem Kauf neuer Anti-Viren- und Anti-Spam-Lösungen sei ihr Problem gelöst. Dass Compliance nicht nur eine Frage technischer Vorkehrungen ist, sondern strategische Grundsatzentscheidungen voraussetzt sowie mit einer Analyse und Anpassung interner Prozesse einhergeht, ist vielen nicht klar." Der Ausweg: "Für kontrollierte Sicherheit verlangt Compliance eine genaue Definition von Richtlinien sowie eine fortlaufende Dokumentation und zieht unter Umständen auch organisatorische Veränderungen nach sich. Jedoch sind Ressourcen zur Umsetzung dieser notwendigen Maßnahmen oft nicht vorgesehen, weshalb Projekte, wie etwa die Einführung einer umfassenden Netzwerkzugangskontrolle, nicht selten scheitern."
Jens Westphal (secunet) unterstreicht den Wert maßvoller und praxisnaher Umsetzung von Regularien: "Compliance hat seine Berechtigung – die Notwendigkeit zur Dokumentation in Unternehmen aus Gründen der Sicherheit ist gegeben. Eine dogmatische Überregulierung kann allerdings zu einer Bürokratisierung führen und die gute Absicht der Steigerung der IT-Sicherheit unterwandern."
Zudem gebe es auch Regelungen, die am grünen Tisch ohne Berücksichtigung von realen Gegebenheiten entstehen: "Diese sind in der Praxis schwer umzusetzen und dem Management deshalb ein Dorn im Auge. Dass knappe Ressourcen besser eingesetzt werden können, zeigt der IT-Grundschutz-Katalog des BSI: Er ist aus der Praxis heraus entstanden und es ist durch iterative Entwicklung gelungen, dass IT-Sicherheits-Forderungen und ihre Umsetzung in der Praxis heute einen echten Mehrwert für Unternehmen liefern", so Westphal weiter.
Trotz seiner eingangs wiedergegebenen Bedenken gegen den Zwang durch Regularien sieht Dr. Wieland Alge (phion) darin auch Chancen, mahnt aber zugleich, dass höhere Ziel nicht aus den Augen zu verlieren: "Statistisch gesehen erhöhen IT-Security-Regularien vermutlich dennoch die Informationssicherheit. Und es bleibt ebenfalls positiv zu vermerken, dass Informationssicherheit in Unternehmen aufgrund der Compliance-Thematik tatsächlich in standardisierte Prozesse einfließt. Aber wir Hersteller und Dienstleister sollten uns hüten, zu sehr die Compliance-Trommel zu rühren! Unsere Aufgabe ist es, ein positives Bewusstsein dafür zu schaffen, dass sich die Verfügbarkeit der IT-Systeme durch Security-Technologie erhöhen lässt."
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2008#2, Seite 6
tag:kes.info,2007:lp:2008-2-A
| 