IT-Sicherheit

 

In fast allen Unternehmen werden die Schlüsselprozesse durch die IT wesentlich unterstützt bzw. manchmal überhaupt erst ermöglicht.
Damit ist eine hohe Abhängigkeit des Unternehmens von der Funktionsfähigkeit und Sicherheit der IT gegeben. Die IT ist also ein ideales Angriffsziel, wenn man einem Unternehmen gravierend und nachhaltig schaden will.

Die Bedrohung kann dabei die Verfügbarkeit, die Vertraulichkeit, die Integrität inklusive Authentizität sowie die rechtliche Konformität betreffen.

 

Verfügbarkeit
 

Ein Prozess kann nur dann unterstützt werden, wenn alle daran mitwirkenden Komponenten verfügbar sind. Es kann beginnend von der Stromversorgung, der Klimatisierung, den Servern, die Software, die Datenleitungen bis hin zu den Arbeitsplätzen jede Komponente bei einem Ausfall zur Nichtverfügbarkeit des IT-Systems führen.
Die möglichen Ursachen reichen dabei von Naturkatastrophen (Feuer, Wasser, Blitz) über Sabotage oder einfach nur Schlamperei oder technisches Gebrechen.
Für manche Unternehmen ist ein Ausfall von nur einem Tag oft lebensbedrohend.

 

Vertraulichkeit
 

Es ist für viele Unternehmen katastrophal, wenn Ihre Daten in fremde Hände gelangen. Dies kann Konstruktionsdaten, Vertriebsdaten oder auch Mitarbeiterdaten betreffen.
Ursache für den Verlust der Vertraulichkeit reicht von Spionage, Gerätediebstahl (siehe auch jüngste Berichte über Notebookdiebstahl in Regierungskreisen) bis zu mangelnder Sorgfalt beim Umgang mit sensiblen Daten.

 

Integrität, Authentizität
 

Unter Integritätsverletzung versteht man, dass Daten verändert werden, ohne dass es dem – hoffentlich existierenden Kontrollsystem oder den verantwortlichen Mitarbeitern auffällt. Dies kann neben finanziellen Schäden (falsche Rechnungsbeträge etc) auch zu großen Imageschäden führen. In diese meist wenig beachtete Bedrohung fällt auch die Verfälschung von Absenderdaten. Da hier die Entdeckungswahrscheinlichkeit gering ist, war dies immer schon ein beliebtes Feld für kriminelle Aktivitäten.

 

Rechtskonformität
 

Viele Unternehmen achten zuwenig darauf, welche Pflichten Ihnen durch Gesetze und Normen in diesem Bereich auferlegt werden. Hier entsteht zwar selten eine gravierende Bedrohung des Unternehmens, sehr häufig ist sich aber die Geschäftsleitung nicht bewusst, dass sie sich bereits im Bereich der (groben) Fahrlässigkeit bewegen und damit persönlich zur Verantwortung gezogen werden können.

Immer mehr große Unternehmen entscheiden sich daher das Unternehmen nach ISO 27001 (IT-Sicherheit) zertifizieren zu lassen. Damit obige Probleme gründlich analysiert und einer Lösung zugeführt. Eine Zertifizierung ist gleichzeitig auch ein Signal gegenüber Kunden und Umfeld, dass das Unternehmen seine operationalen Risiken ernst nimmt und entsprechend managt.

 

Die Verantwortung liegt bei der Geschäftsleitung. Eine externe Unterstützung bei der Risikoanalyse und Maßnahmenplanung ist sicher empfehlenswert, unabhängig davon ob das Unternehmen eine Zertifizierung anstrebt oder nicht.

Translate