Die Schuldfrage bei IT-Sicherheit: Welche Verantwortung trägt die Geschäftsführung?

Geposted am 27/06/2017
HAFTUNGSAUSSCHLUSS: Dieser Artikel ist älter als ein Jahr und möglicherweise nicht mit den neuesten Ereignissen oder neu verfügbaren Informationen auf dem neuesten Stand.

Beitrag von Annette Maier

Ob IoT, Cloud Computing oder Industrie 4.0: Bei allen IT-Themen tritt früher oder später die Frage auf, wie Unternehmen die Datensicherheit gewährleisten können. IT-Sicherheit ist längst kein Nischenthema mehr, sondern steht auf der Agenda sämtlicher CIOs – durch die konsequente Berichterstattung der großen Medien über Datenpannen und die weitreichenden Konsequenzen ist das Bewusstsein für die wachsende Bedeutung von IT-Security in den letzten Jahren stark gestiegen. Auch bei der Unternehmensführung, die nicht mehr umhin kommt, sich aktiv mit diesem speziellen IT-Thema auseinanderzusetzen. Ein Datenleck kann die Reputation eines Unternehmens langfristig schädigen und den Unternehmenserfolg gefährden.

CISOs erobern die Unternehmen

Insbesondere große Unternehmen möchten nicht mit einem Sicherheitsvorfall in den Schlagzeilen landen und haben den Ernst der Lage erkannt. Deshalb schaffen viele von ihnen eine weitere strategische Position: Die des CISOs (Chief Information Security Officer), der sich vorrangig um die IT-Sicherheit im Unternehmen kümmern soll. Ein guter Schritt in die richtige Richtung! Doch es stellen sich weitere Fragen: Wer ist nun verantwortlich, wenn Daten gestohlen werden? Und wie stellen Unternehmen sicher, dass der CISO nicht nur ein Einzelkämpfer ist, sondern durch die Mitarbeiter unterstützt wird?

Je nach Unternehmensstruktur arbeitet der CISO  eng mit dem CIO zusammen, hat aber auch einen direkten Draht zur Geschäftsleitung, zum Betriebsrat und zum Datenschutz. Der CISO sollte dafür sorgen, dass sich das Sicherheitsniveau beständig erhöht – selbst wenn es nur kleine Schritte in die richtige Richtung sind. Wichtig hierbei ist Durchhaltevermögen, denn vor allem in der IT ist es selten so, dass ein Problem nur einmal angesprochen wird und es dann wenige Tage oder Wochen später vollständig behoben ist. Aber aufgepasst: Nur weil es einen CISO gibt, schwindet die Verantwortung der Geschäftsführung noch lange nicht. Der Sicherheitsbeauftragte legt lediglich den Finger in die Wunde und weist auf entsprechende Risiken hin. Wenn etwas schief geht, ist der Vorstand nie vollkommen unschuldig. Er muss für sich und seine Organschaft beweisen können, dass er alle Punkte adressiert hat, die der CISO in seinen Risikoberichten aufgeführt hat.

IT-Sicherheit geht jeden einzelnen Mitarbeiter etwas an

Durch die Stelle des CISOs sind auch die Mitarbeiter nicht von ihrer Pflicht entbunden, Vorfälle zu melden und achtsam zu sein. Die Mitarbeiter sollten gemäß der ISO-Vorgaben im jährlichen Rhythmus geschult werden, damit sie stets an dieses Thema erinnert werden und regelmäßig auf den neuesten Stand gebracht werden. Aufgabe des CISOs ist die Erstellung verständlicher Sicherheitsrichtlinien, die jeder Mitarbeiter kennt. Die Schulungen können als Präsenzschulungen oder aber über E-Learning-Plattformen durchgeführt werden. Auch die Geschäftsleitung ist von regelmäßigen Schulungen nicht ausgeschlossen – sie sollte allerdings noch immer über Präsenzschulungen adressiert werden, da hier auch Maßnahmen direkt diskutiert werden können und sollten.

Ein Konzept hat sich sehr bewährt: CISOs sollten stets die persönliche Betroffenheit herstellen. Jeder Mitarbeiter hat schon mal einen System- oder Backupausfall miterlebt oder sich einen Virus eingefangen – auch privat. Wer täglich mit Computern arbeitet, weiß, dass man ca. eine Woche benötigt, bis der PC wieder einigermaßen so läuft wie vor dem Vorfall. Überträgt man das auf die Geschäftsprozesse, stellt sich heraus, dass Unternehmen bei einem vollständigen Betriebsausfall innerhalb kürzester Zeit vollständig pleite wären – so stellen CISOs sicher, dass Mitarbeiter und Geschäftsführung sich ihrer Verantwortung bewusst sind.

Fazit

Einen CISO einzustellen bzw. einen IT-Mitarbeiter in diese Position zu befördern, halte ich für einen sehr guten Ansatz, um in Unternehmen ein größeres Bewusstsein für die Wichtigkeit dieser Thematik zu schaffen. Insbesondere große Unternehmen sollten diesen Schritt erwägen. Denn ein CISO beschäftigt sich in seiner Position ausschließlich mit neuen Bedrohungen und Risiken und kann sich vollkommen darauf konzentrieren. Diese Aufgabe ist nicht immer dankbar, denn es gehört auch zur Verantwortung von CISOs, der Geschäftsführung stets auf den Zehen zu stehen und sie an die Bedeutung eines ausgefeilten Sicherheitssystems zu erinnern. Das IT-Sicherheitsgesetzt stärkt die Position der CISOs zwar, ist jedoch noch zu schwammig formuliert. Ich gehe jedoch davon aus, dass kommende Entwürfe Unternehmen sehr viel stärker in die Pflicht nehmen.


Kategorie: Business

Schlagwörter: , , , , ,

Ähnliche Artikel

Geposted am 25/07/2017 von blogsadmin

Digitalisierung in Schulen: Vorbereitung auf die digitale Welt?

Der selbstverständliche Umgang mit IT ebenso wie mit digitalen Medien ist heutzutage nahezu in jedem Berufsfeld unverzichtbar. Die Digitalisierung ist Fakt und aus der Arbeitswelt der Zukunft nicht mehr wegzudenken! Es wird in Schulen heute also wichtiger denn je zuvor, die Schüler auf die Herausforderungen der Arbeitswelt von heute und morgen vorzubereiten und sie auch in Bezug auf den korrekten Umgang mit Daten aufzuklären.

3 minuten gelesen
Geposted am 01/02/2018 von blogsadmin

Leadership braucht Empathie: Warum Unternehmen heute auf Diversität setzen

Regina Mehler, Gründerin der Women Speaker Foundation, rät Unternehmen zu mehr Diversität. Im Gespräch mit Annette Maier betont sie, dass erfolgreiches Leadership eine Führungskultur braucht, die kulturelle Unterschiede wertschätzt und integriert. Mitarbeitern empfiehlt sie mehr Positionierung und Sichtbarkeit.

4 minuten gelesen
Geposted am 20/02/2018 von blogsadmin

Wie Mobilität und Flexibilität Mitarbeiter stark macht

Am Beispiel der Deutschen Bahn-Tochter DB Systel erläutert Annette Maier, wie gemeinsam mit VMware ein Konzept für eine völlig neue Zusammenarbeit entwickelt wurde. Durch den demokratischen Zugang zur Technologie verbesserte sich das Nutzer-Erlebnis und die Produktivität der Mitarbeiter deutlich.

3 minuten gelesen

Kommentare

Keine bisher Kommentare

Schreiben Sie einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*

© 2018 VMware EMEA Blog
© 2018 VMware EMEA Blog
This site uses cookies to improve the user experience. By using this site you agree to the privacy policy