Beitrag von Annette Maier
Ob IoT, Cloud Computing oder Industrie 4.0: Bei allen IT-Themen tritt früher oder später die Frage auf, wie Unternehmen die Datensicherheit gewährleisten können. IT-Sicherheit ist längst kein Nischenthema mehr, sondern steht auf der Agenda sämtlicher CIOs – durch die konsequente Berichterstattung der großen Medien über Datenpannen und die weitreichenden Konsequenzen ist das Bewusstsein für die wachsende Bedeutung von IT-Security in den letzten Jahren stark gestiegen. Auch bei der Unternehmensführung, die nicht mehr umhin kommt, sich aktiv mit diesem speziellen IT-Thema auseinanderzusetzen. Ein Datenleck kann die Reputation eines Unternehmens langfristig schädigen und den Unternehmenserfolg gefährden.
CISOs erobern die Unternehmen
Insbesondere große Unternehmen möchten nicht mit einem Sicherheitsvorfall in den Schlagzeilen landen und haben den Ernst der Lage erkannt. Deshalb schaffen viele von ihnen eine weitere strategische Position: Die des CISOs (Chief Information Security Officer), der sich vorrangig um die IT-Sicherheit im Unternehmen kümmern soll. Ein guter Schritt in die richtige Richtung! Doch es stellen sich weitere Fragen: Wer ist nun verantwortlich, wenn Daten gestohlen werden? Und wie stellen Unternehmen sicher, dass der CISO nicht nur ein Einzelkämpfer ist, sondern durch die Mitarbeiter unterstützt wird?
Je nach Unternehmensstruktur arbeitet der CISO eng mit dem CIO zusammen, hat aber auch einen direkten Draht zur Geschäftsleitung, zum Betriebsrat und zum Datenschutz. Der CISO sollte dafür sorgen, dass sich das Sicherheitsniveau beständig erhöht – selbst wenn es nur kleine Schritte in die richtige Richtung sind. Wichtig hierbei ist Durchhaltevermögen, denn vor allem in der IT ist es selten so, dass ein Problem nur einmal angesprochen wird und es dann wenige Tage oder Wochen später vollständig behoben ist. Aber aufgepasst: Nur weil es einen CISO gibt, schwindet die Verantwortung der Geschäftsführung noch lange nicht. Der Sicherheitsbeauftragte legt lediglich den Finger in die Wunde und weist auf entsprechende Risiken hin. Wenn etwas schief geht, ist der Vorstand nie vollkommen unschuldig. Er muss für sich und seine Organschaft beweisen können, dass er alle Punkte adressiert hat, die der CISO in seinen Risikoberichten aufgeführt hat.
IT-Sicherheit geht jeden einzelnen Mitarbeiter etwas an
Durch die Stelle des CISOs sind auch die Mitarbeiter nicht von ihrer Pflicht entbunden, Vorfälle zu melden und achtsam zu sein. Die Mitarbeiter sollten gemäß der ISO-Vorgaben im jährlichen Rhythmus geschult werden, damit sie stets an dieses Thema erinnert werden und regelmäßig auf den neuesten Stand gebracht werden. Aufgabe des CISOs ist die Erstellung verständlicher Sicherheitsrichtlinien, die jeder Mitarbeiter kennt. Die Schulungen können als Präsenzschulungen oder aber über E-Learning-Plattformen durchgeführt werden. Auch die Geschäftsleitung ist von regelmäßigen Schulungen nicht ausgeschlossen – sie sollte allerdings noch immer über Präsenzschulungen adressiert werden, da hier auch Maßnahmen direkt diskutiert werden können und sollten.
Ein Konzept hat sich sehr bewährt: CISOs sollten stets die persönliche Betroffenheit herstellen. Jeder Mitarbeiter hat schon mal einen System- oder Backupausfall miterlebt oder sich einen Virus eingefangen – auch privat. Wer täglich mit Computern arbeitet, weiß, dass man ca. eine Woche benötigt, bis der PC wieder einigermaßen so läuft wie vor dem Vorfall. Überträgt man das auf die Geschäftsprozesse, stellt sich heraus, dass Unternehmen bei einem vollständigen Betriebsausfall innerhalb kürzester Zeit vollständig pleite wären – so stellen CISOs sicher, dass Mitarbeiter und Geschäftsführung sich ihrer Verantwortung bewusst sind.
Fazit
Einen CISO einzustellen bzw. einen IT-Mitarbeiter in diese Position zu befördern, halte ich für einen sehr guten Ansatz, um in Unternehmen ein größeres Bewusstsein für die Wichtigkeit dieser Thematik zu schaffen. Insbesondere große Unternehmen sollten diesen Schritt erwägen. Denn ein CISO beschäftigt sich in seiner Position ausschließlich mit neuen Bedrohungen und Risiken und kann sich vollkommen darauf konzentrieren. Diese Aufgabe ist nicht immer dankbar, denn es gehört auch zur Verantwortung von CISOs, der Geschäftsführung stets auf den Zehen zu stehen und sie an die Bedeutung eines ausgefeilten Sicherheitssystems zu erinnern. Das IT-Sicherheitsgesetzt stärkt die Position der CISOs zwar, ist jedoch noch zu schwammig formuliert. Ich gehe jedoch davon aus, dass kommende Entwürfe Unternehmen sehr viel stärker in die Pflicht nehmen.