Sie müssen sich mit dem Thema Sicherheit auseinandersetzen, weil Sicherheit für Ihre Kunden wichtig ist und weil Cyberangriffe und Sicherheitsereignisse mittlerweile vor keinem Unternehmen mehr Halt machen. Es gibt aber noch weitere Gründe.
Warum sollten sich leiter überhaupt für it sicherheit interessieren?
1. Warum sollten sich Leiter überhaupt für
IT-Sicherheit interessieren?
Von Lars Neupart, CEO & Gründer,
Neupart - Information Security Management
Sie müssen sich mit dem Thema Sicherheit auseinandersetzen, weil
Sicherheit für Ihre Kunden wichtig ist und weil Cyberangriffe und
Sicherheitsereignisse mittlerweile vor keinem Unternehmen mehr
Halt machen. Wir haben alle, die zahlreichen Beispiele für
Datenschutzverletzungen, Angriffen und anderen Sicherheitsvorfälle
in den Nachrichten gesehen. Normalerweise würde man erwarten
oder erhoffen, dass die beteiligten Organisationen tatsächlich besser
geschützt waren. IT-Sicherheit wurde 2014 aktueller denn je, sowohl
in den Unternehmen als auch in den Medien.
Ihre Kunden - egal, ob Sie an Endverbraucher verkaufen oder an
Unternehmen, sind für das Thema heute sensibilisiert. Daher sollten
Sie sich, wenn Sie eine Leitungsfunktion im Unternehmen innehaben,
dafür interessieren, ob Ihre Organisation gut genug auf einen
größeren Cyberangriff oder einen Ausfall vorbereitet ist. Und das ist
an sich schon Argumentation genug! Es gibt aber noch weitere
Gründe, die ich Ihnen nennen will.
Image und wirtschaftlicher Erfolg:
Möglicherweise haben Sie Jahre daran gearbeitet, langsam aber sicher die Glaubwürdigkeit Ihrer
Marke(n) aufzubauen. Sie möchten, dass Ihre Kunden Ihnen vertrauen können. Ein Sicherheitsereignis
kann diese Glaubwürdigkeit, dieses Vertrauen, das Sie aufgebaut haben, in kürzester Zeit in einem
Umfang schmälern, dass selbst die besten (oder teuersten) Image-Kampagnen dies nicht mehr zu
richten im Stande sind.
Kosten:
Rechnen Sie dann noch die enormen Summen dazu, die bei einer großen Sicherheitsverletzung
aufzubringen sind. Und zwar während des Ereignisses und im Anschluss für Untersuchungen,
Schadensbeseitigung und Neueinrichtung. Der Diebstahl von Geschäftsgeheimnissen und/oder
immateriellen Rechten sowie Industriespionage können bekanntlich teuer werden - und stellen für
einige Unternehmen sogar eine Existenzbedrohung dar. Im Nachhinein wird es sich garantiert zeigen,
dass mehr Investitionen in vorbeugende Sicherheit sinnvoll und auch wirtschaftlich gewesen wären.
Auch auf Grund der Entwicklung des Bedrohungsbildes wird sich das perspektivisch als eine gute
Investition erweisen.
Herunterladen eine Zusammenfassung
der sechs Gründe
2. Gesetze:
Sie sind gesetzlich zur Herstellung einer ausreichenden IT-Sicherheit verpflichtet. Denken Sie nur an die
aktuellen und kommenden Datenschutzgesetze. Mit der kommenden EU-Verordnung über den Schutz
von personenbezogenen Daten, die voraussichtlich für alle EU-Länder gelten wird, müssen
Unternehmen bei Verletzung des Datenschutzes mit Strafen in Höhe von bis zu 5% ihres Umsatzes
rechnen. Es besteht eine umfassende Anzeigepflicht bei Verstößen gegen die Datensicherheit
gegenüber Betroffenen (Data breach notification), was in der praktischen Umsetzung sowohl teuer als
auch kompliziert ist. Hinzu kommen diverse branchenspezifische Anforderungen; beispielsweise
müssen Finanzunternehmen die Anforderungen der Finanzaufsicht an die IT-Sicherheit erfüllen, und es
bestehen besondere Anforderungen an den Energie-Sektor, den Gesundheitssektor und an staatliche
Einrichtungen und Unternehmen, welche die ISO 27001-Norm erfüllen müssen.
Governance-Anforderungen:
Die gesellschaftliche Governance-Anforderungen verlangen 1) dass die Geschäftsleitung die
notwendigen Risikomanagement-Verfahren und interne Kontrollen einrichtet, 2) dass die
Geschäftsleitung Stellung zu strategischen und geschäftlichen Risiken nimmt und 3) dass eine Leitung,
die der Gesellschaft fahrlässig Schaden zugefügt hat, diesen ersetzen muss. Mit anderen Worten gibt es
hier noch eine Reihe von rechtlichen Gründen, sich für Informationssicherheit zu interessieren.
Audits/Prüfungen:
Wahrscheinlich sind Sie bestrebt, Ihren Unternehmensprüfern keinen Grund zu Beanstandungen zu
liefern. Und Ihre IT-Sicherheit wird ja auch geprüft. Egal, ob einige Wirtschaftsprüfungsgesellschaften
eine zweifelhafte Doppelrolle ausfüllen (da sie gleichzeitig eine breite Palette an sowohl praktischen als
auch theoretischen Dienstleistungen im Bereich der IT-Sicherheit anbieten), zahlt es sich für Sie aus,
eine Prüfung proaktiv anzugehen. Es muss für Sie leicht nachweisbar sein, dass Sie Ihre
Informationssicherheit im Griff haben.
Was aber müssen Sie als oberste Führungskraft tun, außer sich für das Thema zu interessieren? Ganz
einfach: A) müssen Sie in Ihrer Organisation kommunizieren, dass Sicherheit wichtig und eine
Voraussetzung für Ihre geschäftliche Tätigkeit ist, und B) müssen Sie untersuchen, ob Sie ausreichend
finanzielle und personelle Ressourcen in Ihrer Organisation für das tägliche, praktische Management
Ihrer Informationssicherheit zur Verfügung haben.
Wenn Sie selbst noch einen Spatenstich tiefer gehen wollen, empfehle ich Ihnen, Ihre Reife auf
folgenden Gebieten zu untersuchen:
1. Politiken, Regeln, Verfahren und Dokumentation
2. Risikomanagement (Risikobewertungen und laufendes Risikomanagement)
3. Umgang mit Ereignissen und Notfallpläne
Eine ordentliche Governance und ein ordentliches IT-Sicherheitsmanagement sind zu einer
Selbstverständlichkeit geworden, weil sie Voraussetzung sind für die geschäftliche Tätigkeit der meisten
Unternehmen. Aus diesem Grund muss sich eine Geschäftsleitung für Informationssicherheit
interessieren.
3. Weitere Ressourcen
Herunterladen eine Zusammenfassung der sechs Gründe
Lernen mehr über ISO 27001
Bildungs-Webinare:
Begleiten Sie unsere Webinare und erfahren Sie mehr über Informationssicherheits-management
Anmelden Sie zum Informationssicherheits-Newsletter:
Empfangen White Papers, Artikeln und Webinareinladungen
Lernen Sie über SecureAware ISMS von Neupart
Testen Sie SecureAware hier
Neupart hilft Unternehmen bei der IT-Risikosteuerung und der Erfüllung von
Sicherheitsanforderungen. Neupart unterscheidet sich von herkömmlichen
Beratungsfirmen, da unsere selbst entwickelte Information Security Management
System, SecureAware, den Unternehmen Zeit spart und weniger Beraterstunden
erfordert. Neupart ist Spezialist für ISO 2700x / 22301, Cobit, PCI DSS und Cloud-
Sicherheit. Mehr als 200 Organisationen weltweit sind Neupart Kunden, darunter
Staatliche Institutionen, Versorgungsunternehmen, Banken und Versicherungen,
IT-Dienstleister und Lotterien. Neupart ist ISO 27001 zertifiziert.
www.neupart.de
mar-2015
Neupart GmbH
Kaiserwerther Straße 115
40880 Ratingen/Düsseldorf
www.neupart.de