Inhalt

• Ist Informationssicherheit ein technisches Problem? (Teil 2)
• Informationssicherheit in Zahlen
• Informationssicherheit und Outsourcing leicht gemacht
• White Papers
• Impressum

Ist Informationssicherheit ein technisches Problem? (Teil 2)

Im ersten Teil dieses Artikels haben wir dargestellt, wie technische Sicherheitsmassnahmen aus dem unternehmensweiten Informationssicherheitsmanagement bedarfsgerecht und ohne Überschneidungen abgeleitet werden können. Hier setzen wir die Informationssicherheit in den unternehmerischen Gesamtzusammenhang.

Die Rahmenbedingungen und Leitlinien für den Umgang mit Information im Unternehmen unter Berücksichtigung der gesetzlichen Grundlagen sowie der Ansprüche von Eigentümern und Anspruchstellern werden auf abstraktester Ebene bereits durch die Grundsatzentscheide der Unternehmenspolitik festgelegt. Diese werden dann in der Unternehmensstrategie über die Festlegung der Sicherheits- und Risikopolitik ausformuliert. Dabei werden die rechtlichen und regulatorischen Anforderungen am Sitz des Unternehmens und der Zielmärkte, die Kundenanforderungen, die Einzigartigkeit sowie der Innovationsgrad der Produkte oder Services, die Wettbewerbssituation und allfällige Besonderheiten der Branche berücksichtigt.

Es ist offensichtlich, dass die Entscheidungskriterien für das Abwägen von Risiken für einen Produzenten einfacher Konsumgüter in einem wettbewerblich geschützten, lokalen Markt gänzlich anders aussehen, als für einen weltweiten Anbieter hoch innovativer Produkte mit Mitbewerbern und Kunden aus verschiedenen Kulturkreisen. Sicherheits- und Risikopolitik sind daher für jedes Unternehmen unbedingt individuell auszuformulieren.

Die Risikopolitik setzt wiederum die strategischen Rahmenbedingungen für das Risikomangement, damit im Speziellen auch für die Analyse, Evaluation, Behandlung und Akzeptanz aller Risiken, die sich aus dem Umgang mit Information ergeben. Das Risikomanagement steuert den Umfang der Massnahmen zur Gewährleistung der Sicherheit im Allgemeinen und der Informationsssicherheit im Speziellen. Es wirkt gleichsam als Regler, mit der die Gegenpole Risiko und Sicherheit ausbalanciert werden. Ist dieser Regler entsprechend gesetzt, ist die strategische Einbettung des Informationssicherheitsmanagementsystems in das Unternehmen im Sinne eines ``top-down'' Ansatzes abgeschlossen.

Abschliessend gilt es die Auswirkungen der so ermittelten Klauseln und Kontrollen zur Gewährleistung der Informationssicherheit auf operativer Ebene zu verifizieren. Geschäftsprozesse, die im Umgang mit Information nicht tragbare Sicherheitsrisiken in Kauf nehmen, müssen angepasst werden. Wird die Geschäftstätigkeit hingegen unangemessen behindert, müssen im Sinne eines ``bottom-up'' Ansatzes auf den übergeordneten Ebenen Korrekturen angebracht werden.

Nur wenn so vorgegangen wird, besitzt man schliesslich klare Entscheidungsgrundlagen für die gezielte Realisierung technischer Schutzmassnahmen, die auch in Übereinklang mit der Politik und der Strategie des Unternehmens stehen. Aufgrund der dargelegten Zusammenhänge und Abhängigkeiten sollte Informationssicherheit fest auf Geschäftsleitungsebene verankert werden, nicht zuletzt, weil die Verantwortung für Compliance nicht delegiert werden kann.

Dr. habil. Karsten M. Decker

Informationssicherheit in Zahlen

• 49 Prozent der Befragten der <kes>/Microsoft-Sicherheitsstudie 2006 für Notebooks, PDAs und dergleichen schätzen die Sicherheit ihrer mobilen Systeme als nicht ausreichend oder gerade eben ausreichend ein. 27 Prozent gaben an, dass Unbefugte durch Verlust oder Diebstahl mobiler Systeme Zugriff auf schutzwürdige Daten erhalten haben, weitere 9 Prozent vermuten dies. Fast 60 Prozent der Befragten betreiben derzeit keine Datensicherung für mobile Systeme. Damit sorgen Mobile Systeme für grösste Gefährdung mit empfindlichen Folgen für die Vertraulichkeit und Verfügbarkeit von Unternehmensdaten.
  (Quelle: <kes> online, 22. August 2006)
• Mehr Notebook-Verluste auf Flughäfen. Während unter ``normalen'' Bedingungen in Heathrow täglich durchschnittlich fünf herrenlose Notebooks und zehn Mobiltelefone sichergestellt werden, ist diese Zahl im Agust infolge der verschärften Sicherheitsbestimmungen weiter angestiegen. Von diesen Geräten können einer Umfrage zufolge nur etwa 60 Prozent den Besitzern wieder zurückgegeben werden. Die übrigen Geräte werden nach einer dreimonatigen Wartezeit versteigert. Auf vielen dieser verlorenen Geräte dürften sich umfangreiche und teils wichtige geschäftliche und private Daten befinden; nur selten sind solche Daten professionell verschlüsselt.
  (Quelle: <kes> online, 15. September 2006)
• Gemäss einer Befragung von Chief Information Officers (CIO) durch Accenture ist in den nächsten 24 Monaten die Informationssicherheit das wichtigste Thema, knapp gefolgt von der IT-Effizienz. Modethemen wie IT-Outsourcing oder gar Offshoring scheinen laut Accenture-Studie die CIO dagegen herzlich wenig zu beschäftigen.
  (Quelle: Computerworld Online, 29. September 2006)
• Während von 2005 auf 2006 die Wichtigkeit der externen Bedrohung durch Trojaner, Viren, Würmer, etc. bei den Befragten von 57 auf 50 Prozent abgenommen hat, stieg diejenige durch Datendiebstahl von Mitarbeitern und Geschäftspartnern von 22 auf 37 Prozent und liegt nun höher als diejenige durch Hacker. Information ist gemäss dem amerikanischen Geheimdienst zur neuen Weltwährung avanciert.
  (Quelle: IDC, End users behaving badly: Threats from the inside, 2006)
• Die Einhaltung der Sicherheitspolitik des Unternehmens durch die Mitarbeiter wird 2006 von 52 Prozent der Befragten gegenüber 44 Prozent im Jahre 2005 als die insgesamt grösste Herausforderung in einem Unternehmen bewertet. 44 Prozent (2005: 33 Prozent) erachten die Herausforderung, dass Führungskräfte die Sicherheitspolitik einhalten, als kritisch.
  (Quelle: IDC, End users behaving badly: Threats from the inside, 2006)
• Die Herausforderung für die Informationssicherheit eines Unternehmens, die von mobilen Endgeräten ausgehen, werden von 37 Prozent der Befragten als bedeutsam für das Unternehmen eingeschätzt.
  (Quelle: IDC, End users behaving badly: Threats from the inside, 2006)

Informationssicherheit und Outsourcing leicht gemacht

Für Sie gratis bereitgestellt: Schnelltests und vollständige Selbstbewertungsformulare zu den folgenden Themen:

• Informationssicherheit - Schnelltest
• Outsourcing - Schnelltest
• Informationssicherheit - Selbstbewertung
• Outsourcing - Selbstbewertung

Überzeugen Sie sich selbst vom praktischen Wert unserer Formulare.

White Papers

• Informationssicherheit: Luxus oder überlebenswichtig?
• Grid Computing - the European business perspective

Alle White Papers sind kostenlos.

Impressum

Herausgeber: Decker Consulting GmbH, Birkenstrasse 49, CH-6343 Rotkreuz
Tel: +41 (41) 790-9080, Fax: +41 (41) 790-9082, E-Mail: info@mit-solutions.com

Copyright: Alle in diesem Newsletter erschienenen Beiträge sind urheberrechtlich geschützt.

Wenn Sie den Newsletter abbestellen möchten, senden Sie bitte eine E-Mail mit dem Betreff ``Stop Newsletter'' an info@mit-solutions.com.