Basel II und Sarbanes-Oxley zwingen IT-Sichertheit auf den Prüfstand


News

In den nächsten zwölf bis achtzehn Monaten, so das Ergebnis einer Studie des Beratungsunternehmens Gartner Group und des international agierenden IT-Dienstleisters Getronics, werden immer mehr Verantwortliche in den Chefetagen die existentielle Bedeutung der Informations-sicherheit für ihr Unternehmen erkennen und entsprechend handeln. Vor allem die verschärften Anforderungen durch Basel II und die Sarbanes-Oxley-Gesetze für US-Börsenunternehmen zwingen zum Ergreifen von Maßnahmen.

Die Terrorismus Attacken am 11. September 2001 in den USA, der Zusammenbruch der dot-com Blase, verunsicherte Kunden durch Unternehmens- und Regierungsskandale, die schlechte allgemeine Wirtschaftslage - in den vergangenen Jahren hatten Unternehmen meist andere Sorgen, als sich um ein Update oder die Neuausrichtung ihrer IT-Infrastruktur und damit ihrer Informationssicherheit zu kümmern. Doch diese Situation beginnt sich nun zu ändern.

In einer aktuellen Studie die Analysten zu dem Schluss: "Der Schutz der Informationen - und speziell die IT-Sicherheit - ist heute für jedes Unternehmen eine Grundvoraussetzung für das Geschäft". Doch dieses "must have" alleine greife zu kurz. Erfolgreiche Unternehmen hätten bereits erkannt, dass Informationssicherheit auch ein wichtiger "Business Enabler" sei. Investitionen in diesen Bereich kosteten zwar erst einmal Geld, minimierten zum Beispiel aber deutlich das Risiko bei der Einführung neuer Technologien zur Steigerung der Wettbewerbsfähigkeit.

Gefahr von neuen Sicherheitslücken

Vor diesem Hintergrund - so die Studie - sind immer mehr Unternehmen bereit, nicht nur in entsprechend geschultes Personal, sondern auch in vorbeugende Maßnahmen zu investieren, um die Sicherheit ihrer Daten und Systeme zu gewährleisten. "Schwachstellen erkennen und beheben, bevor sie zu einer echten Bedrohung werden", lautet mittlerweile das Motto für viele Firmen. Einer der Wege, ein optimales Maß an Datensicherheit zu erreichen liegt darin, technisch immer auf dem neuesten Stand zu sein und auch Geschäftspartner und Zulieferer dazu zu bringen, ihre Sicher-heitskomponenten ständig up-to-date zu halten. Allerdings bringt die zunehmende Fokussierung auf den Sicherheitsaspekt - so die Befürchtung der Analysten - auch einige neue Gefahren mit sich. Denn jedes Mal, wenn eine neue Technik verfügbar ist oder bestehende Techniken gravierend verändert wurden, tendieren viele Firmen dazu, ihre alten Sicherheitssysteme zu vernachlässigen und sich stattdessen ausschließlich auf die neuen Möglichkeiten zu konzentrieren.

Auf diese Weise entsteht nicht selten eine neue Sicherheitslücke, die Hacker oder Spammer dann ausnutzen, um ihre Angriffe zu starten und im Zweifelsfalle ein ganzes Firmennetzwerk tagelang lahm zu legen. Ein weiteres Problem: Kommen neue Sicherheitskomponenten auf den Markt, wissen Firmen oft nicht, ob sich der Einsatz für ihr Unternehmen überhaupt lohnt. Wird die neue Technik zu früh eingesetzt, riskiert das Unternehmen vielleicht mit den Problemen eines "Pilotkunden" kämpfen zu müssen. Wird die neue Technik verspätet eingesetzt, sind jedoch vielleicht schon Konkurrenten vorbeigezogen und haben einen Vertrauensvorsprung gewonnen oder gar Kunden abgeworben. Eine Gratwanderung, bei der Firmen nicht selten abstürzen.

Unterschiedliche Sicherheitsstrategien

Nach Meinung des Experten ist dies mit ein Grund dafür, warum sich mehr und mehr Unternehmen in Sachen Datensicherheit auf einen externen Dienstleister verlassen. Der Vorteil: Investitions- und Personalkosten lassen sich so senken, der Sicherheitsstandard kann aber gleichzeitig verbessert werden. Zudem gehört die IT-Sicherheit zum Kerngeschäft der jeweiligen Outsourcing-Anbieter und so können diese dann auch entscheiden, welche Maßnahmen für ein Unternehmen geeignet sind und welche nicht. Die Hauptaufgabe der Outsourcing-Partner besteht aber darin, Gefahren von den entsprechenden Netzwerken abzuwenden und die Operationsfähigkeit ihres Kunden zu gewährleisten - 24 Stunden am Tag, sieben Tage in der Woche. Eine Aufgabe, die heute nur noch große Unternehmen mit einer eigenen IT-Abteilung ohne externe Partner bewältigen können.

Um den Gefahren zu begegnen, gibt es mittlerweile eine Vielzahl von Strategien, die vereinzelt oder gemeinsam angewendet zu einer Erhöhung der Datensicherheit beitragen können. Einer der wichtigsten Punkte: Jedes Unternehmen sollte sich im Klaren darüber sein, wie gut seine Sicherheitsvorkehrungen wirklich sind und wo es noch Lücken gibt. Eine Möglichkeit, diese potenziellen Lücken bereits im Vorfeld zu erkennen, besteht darin, bereits während der finalen Softwaretests parallel Sicherheitstests mitlaufen zu lassen. Dieses Vorgehen hat auch handfeste finanzielle Vorteile, wie eine Gartner-Studie aus dem Jahr 2002 beweist. Damals kamen die Analysten zu dem Schluss, dass das Erkennen und Beheben eines Softwarefehlers während der finalen Testphase rund zwei bis fünf Mal weniger kostet, als wenn das System bereits live ist. Ähnliches gilt auch für das Schließen von Sicherheitslücken.

Im Hinblick auf das Vertrauen der Kunden eines Unternehmens, ist eine proaktive Sicherheits-strategie das Gebot der Stunde. Laut den Analysen von Gartner reagieren viele Unternehmen in der Regel nur sehr langsam und widerwillig auf externe Vorgaben wie beispielsweise Basel II oder die Sarbanes-Oxley-Gesetze - und lassen dadurch eine einmalige Gelegenheit ungenutzt. Denn Unternehmen, die gegenüber ihren Kunden die Erfüllung der vorgegebenen Sicherheitsvorschriften offensiv darstellen, haben meist einen entscheidenden Marktvorteil. Die Kunden fühlen sich und ihre Daten bei diesem Unternehmen gut aufgehoben und sind gerne bereit, auch weiterhin mit dieser Firma zusammen zu arbeiten. Ein Vertrauensverlust dagegen, beispielsweise wenn ein Unternehmen die Sicherheitsvorschriften nur schleppend umsetzt, kann verheerende Folgen für die Reputation und damit für die Geschäftsgrundlage haben.

Managed Security Services als optimale Lösung

Eine dritte mögliche Strategie besteht darin, verschiedene Sicherheitsfunktionen auf einer gemeinsamen Plattform zu vereinen und so Personal und Ressourcen einzusparen, ohne aber die Datensicherheit zu vernachlässigen. Bereits heute bieten viele IT-Outsourcing-Dienstleister eine solche Möglichkeit im Rahmen von Managed Security Services an. Allerdings kann es bei dieser Strategie durchaus auch zu Problemen kommen, denn die Bündelung zu vieler Funktionen auf einer Plattform machen diese auch fehleranfälliger. Firmen sollten sich daher genau überlegen, welche Funktionen für die Gewährleistung der Datensicherheit wirklich notwendig sind, welche gebündelt werden können und welche nicht.

Der letzte wichtige Punkt schließlich besteht darin, dass die Sicherheitskomponenten eines Unternehmens in jedem Fall in die unternehmensweiten Netzwerke und Systeme integriert werden müssen. Denn nur dann ist es möglich, ein hohes Level an Datensicherheit zu erreichen und Risiken zu minimieren. Um ein optimales Maß an Security zu erreichen, ist allerdings meist eine Kombination aus den verschiedenen Strategien empfehlenswert. Ein breit angelegter Risikomanagement-Ansatz sollte dabei drei Hauptkriterien verfolgen: Unerwünschte Besucher von den IT-Systemen fernzuhalten, den Mitarbeitern, Geschäftspartnern und Kunden jederzeit den Zugang zu ermöglichen und die Geschäftsabläufe optimal zu unterstützen.

Quelle: ITSecCity (www.itseccity.de)

 

Risk Academy

Die Intensiv-Seminare der RiskAcademy® konzentrieren sich auf Methoden und Instrumente für evolutionäre und revolutionäre Wege im Risikomanagement.

Seminare ansehen
Newsletter

Der Newsletter RiskNEWS informiert über Entwicklungen im Risikomanagement, aktuelle Buchveröffentlichungen sowie Kongresse und Veranstaltungen.

jetzt anmelden
Lösungsanbieter

Sie suchen eine Softwarelösung oder einen Dienstleister rund um die Themen Risikomanagement, GRC, IKS oder ISMS?

Partner finden
Ihre Daten werden selbstverständlich vertraulich behandelt und nicht an Dritte weitergegeben. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.