Zum Inhalt springen

IT-Sicherheit

Links hinzufügen
aus Wikipedia, der freien Enzyklopädie
Dies ist eine alte Version dieser Seite, zuletzt bearbeitet am 11. Oktober 2005 um 07:17 Uhr durch 84.167.198.121 (Diskussion) (Literatur). Sie kann sich erheblich von der aktuellen Version unterscheiden.

IT-Sicherheit hat sich von einem mehr oder weniger inhaltslosen Schlagwort in den letzten Jahren zu einem Feld umfassender Tätigkeiten entwickelt. Grundsätzlich ist die Bedeutung des Stichwortes IT-Sicherheit im unternehmerischen Bereich deutlich gefestigt, im privaten Bereich ergeben sich vielfältige Synonyme. Unter Computersicherheit sind viele gute Informationen verfügbar, die zu Hause hilfreich sein können.

Ziel

Hintergrund von IT-Sicherheit ist es, den quasi unerlässlich gewordenen Einsatz von IT mit entsprechender Sicherheit zu unterlegen und dies zu dokumentieren, um Unternehmen und Kunden einen möglichst hohen Schutz zu gewähren. Der Schutz besteht darin, sensitive Daten und Geschäftsvorgänge zu schützen sowie eine Beeinträchtigung der Geschäftstätigkeiten durch Pannen in der IT, die auch existenzbedrohend sein können, nach Möglichkeit auszuschließen.

Durchführung

Allgemein wird für eine erfolgreiche Etablierung des IT-Sicherheitsprozesses ein Top-Down-Prozess als unerlässlich angesehen. Der für das Unternehmen im Außenverhältnis Verantwortliche für IT-Sicherheit, also der Vorstand/Geschäftsführer o.ä. muss sich der Bedeutung des Themas bewusst werden und es innerhalb der Unternehmensphilosophie (hinter diesem Link verbirgt sich ein Redirect auf Unternehmenskultur, was mE zu differenzieren ist) oder der Unternehmensleitlinien verankern. Erst wenn dies erfolgt ist, kann die Umsetzung des IT-Sicherheitsgedankens erfolgen. Die weiteren Schritte können vielfältig sein. Hier sollen nur Eckpunkte und Meilensteine genannt werden.

IT-Sicherheitsbeauftragter

Da der Vorstand/Geschäftsführer i.d.R. nicht die zeitlichen Möglichkeiten hat, sich um das Thema vollumfänglich zu kümmern, wird er einen IT-Sicherheitsbeauftragten bestimmen. Dieser sollte

  • eine deutliche Affinität zur IT haben
  • allgemeines Vertrauen genießen
  • Erfahrung in Projektarbeit besitzen
  • die Stelle besetzen wollen und nicht müssen
  • direkt dem Vorstand/Geschäftsführer unterstellt werden
  • mit ausreichenden zeitlichen Mitteln ausgestattet sein.

Der IT-Sicherheitsbeauftragte (ITSB) nebst seiner hierarchischen Stellung, den Aufgaben und den Kompetenzen wird dem Gesamtunternehmen bekanntgegeben. Er ist fortan Ansprechpartner für sämtliche Fragen IT-Sicherheit betreffend und sollte auch dringend bei Entscheidungsfindungs- und Auswahlprozessen in Sachen Software, IT-Struktur, Neubau und vergleichbarem hinzugezogen werden.

Sicherheitspolitik

Die Sicherheitspolitik umfasst gesteckte Ziele der IT-Sicherheit, hier wird also ein Soll-Zustand ermittelt. Mit diesem Soll-Zustand erreicht das Unternehmen den gewünschten Grad seiner IT-Sicherheit.

Sicherheitscheck

In diesem aufwendigen Bereich werden die Ziele mit dem aktuellen Ist-Zustand verglichen um daraus fällige Maßnahmen zu bilden. diese Maßnahmen müssen nach wirtschaftlichen Gesichtspunkten abgewägt werden und münden damit in die

Massnahmenplanung

In diesem Plan wird festgehalten bis wann welche Maßnahme durch wen unter Zuhilfenahme welcher Mittel durchgeführt wird.


In der Praxis handelt es sich hierbei um einen extrem umfangreichen Prozess, der eine stringente Dokumentation und fortdauernde Pflege voraussetzt, um sinnvoll eingesetzt zu werden und auf Dauer erfolgreich ist. Der ITSB wird meistens durch ein IT-Sicherheitsteam (ITST) unterstützt, das sich klassischerweise aus (IT-)Organisation, Revision, Controlling und/oder anderen entsprechenden Schlüsselfiguren zusammensetzt.

Umsetzungsbereiche

IT-Sicherheit bei Sparkassen und Banken

Zur Beschleunigung des Prozesses und Hervorhebung der Wichtigkeit haben unter anderem die Ergebnisse von Basel II, die Vorschriften von BaFin und des KWG sowie der einzelnen Verbandsrevisionen der Sparkassen und Banken beigetragen. Verstärkt werden sowohl externe als auch interne Prüfungen auf dieses Thema ausgelegt. Gleichzeitig entstand ein umfangreiches Dienstleistungsangebot zur Durchführung verschiedener Projekte, die einen IT-Sicherheitsprozesses in Unternehmen etablieren sollen. Anbieter sind sowohl innerhalb der jeweiligen Unternehmensgruppe als auch auf dem externen Markt zu finden.

IT-Sicherheit bei anderen Unternehmen des Finanzdienstleistungssektors

Bei anderen Finanzdienstleistungsinstituten, Versicherungsunternehmen und den Unternehmen des Wertpapierhandels wird das Konzept im Allgemeinen identisch sein, wobei hier zum Beispiel auch andere Gesetze eine Rolle spielen können.

IT-Sicherheit bei anderen Unternehmen

In den weiteren Sektoren der Wirtschaft sind weniger relevante Aufsichtsbehörden, Gesetzgebungen u.ä. aber auch weniger prüfende Stellen wie zum Beispiel Revisionen zu finden. Die Bedeutung von IT-Sicherheit behält trotzdem auch hier ihren Stellenwert. Hilfestellung gewährt hier das Grundschutzhandbuch des BSI, dessen Nutzung kostenfrei ist.

IT-Sicherheit öffentlichen Einrichtungen und Behörden

In diesem Bereich ist das Grundschutzhandbuch des BSI das Standardwerk. In großem Maße erhalten diese Stellen das zugehörige Grundschutztool, welches die Durchführung deutlich vereinfacht, kostenlos.

IT-Sicherheit - Sensibilisierung der Mitarbeiter

Ein wichtiger Aspekt in der Umsetzung von Sicherheitsrichtlinien ist die Ansprache der eigenen Mitarbeiter, die Bildung von sogenannter IT-Security Awareness. Hier fordern die erste Arbeitsrichter den Nachweis der erfolgten Mitarbeitersensibilisierung für den Fall eines etwaigen Verstoßes gegen die Firmenrichtlinien. Mitarbeitersensibilisierung variieren typischerweise von Unternehmen zu Unternehmen. Ausgehend von Präsenzveranstaltungen über web basierte Seminare bis hin zu Sensibilisierungskampagnen.

Literatur

Abgerufen von „https://de.wikipedia.org/w/index.php?title=IT-Sicherheit&oldid=9883825