Die Schuldfrage bei IT-Sicherheit: Welche Verantwortung trägt die Geschäftsführung?

June 27, 2017
Die Schuldfrage bei IT-Sicherheit: Welche Verantwortung trägt die Geschäftsführung?

Beitrag von Annette Maier, Vice President & General Manager Germany, VMware

Ob IoT, Cloud Computing oder Industrie 4.0: Bei allen IT-Themen tritt früher oder später die Frage auf, wie Unternehmen die Datensicherheit gewährleisten können. IT-Sicherheit ist längst kein Nischenthema mehr, sondern steht auf der Agenda sämtlicher CIOs – durch die konsequente Berichterstattung der großen Medien über Datenpannen und die weitreichenden Konsequenzen ist das Bewusstsein für die wachsende Bedeutung von IT-Security in den letzten Jahren stark gestiegen. Auch bei der Unternehmensführung, die nicht mehr umhin kommt, sich aktiv mit diesem speziellen IT-Thema auseinanderzusetzen. Ein Datenleck kann die Reputation eines Unternehmens langfristig schädigen und den Unternehmenserfolg gefährden.

CISOs erobern die Unternehmen

Insbesondere große Unternehmen möchten nicht mit einem Sicherheitsvorfall in den Schlagzeilen landen und haben den Ernst der Lage erkannt. Deshalb schaffen viele von ihnen eine weitere strategische Position: Die des CISOs (Chief Information Security Officer), der sich vorrangig um die IT-Sicherheit im Unternehmen kümmern soll. Ein guter Schritt in die richtige Richtung! Doch es stellen sich weitere Fragen: Wer ist nun verantwortlich, wenn Daten gestohlen werden? Und wie stellen Unternehmen sicher, dass der CISO nicht nur ein Einzelkämpfer ist, sondern durch die Mitarbeiter unterstützt wird?

Je nach Unternehmensstruktur arbeitet der CISO  eng mit dem CIO zusammen, hat aber auch einen direkten Draht zur Geschäftsleitung, zum Betriebsrat und zum Datenschutz. Der CISO sollte dafür sorgen, dass sich das Sicherheitsniveau beständig erhöht – selbst wenn es nur kleine Schritte in die richtige Richtung sind. Wichtig hierbei ist Durchhaltevermögen, denn vor allem in der IT ist es selten so, dass ein Problem nur einmal angesprochen wird und es dann wenige Tage oder Wochen später vollständig behoben ist. Aber aufgepasst: Nur weil es einen CISO gibt, schwindet die Verantwortung der Geschäftsführung noch lange nicht. Der Sicherheitsbeauftragte legt lediglich den Finger in die Wunde und weist auf entsprechende Risiken hin. Wenn etwas schief geht, ist der Vorstand nie vollkommen unschuldig. Er muss für sich und seine Organschaft beweisen können, dass er alle Punkte adressiert hat, die der CISO in seinen Risikoberichten aufgeführt hat.

IT-Sicherheit geht jeden einzelnen Mitarbeiter etwas an

Durch die Stelle des CISOs sind auch die Mitarbeiter nicht von ihrer Pflicht entbunden, Vorfälle zu melden und achtsam zu sein. Die Mitarbeiter sollten gemäß der ISO-Vorgaben im jährlichen Rhythmus geschult werden, damit sie stets an dieses Thema erinnert werden und regelmäßig auf den neuesten Stand gebracht werden. Aufgabe des CISOs ist die Erstellung verständlicher Sicherheitsrichtlinien, die jeder Mitarbeiter kennt. Die Schulungen können als Präsenzschulungen oder aber über E-Learning-Plattformen durchgeführt werden. Auch die Geschäftsleitung ist von regelmäßigen Schulungen nicht ausgeschlossen – sie sollte allerdings noch immer über Präsenzschulungen adressiert werden, da hier auch Maßnahmen direkt diskutiert werden können und sollten.

Ein Konzept hat sich sehr bewährt: CISOs sollten stets die persönliche Betroffenheit herstellen. Jeder Mitarbeiter hat schon mal einen System- oder Backupausfall miterlebt oder sich einen Virus eingefangen – auch privat. Wer täglich mit Computern arbeitet, weiß, dass man ca. eine Woche benötigt, bis der PC wieder einigermaßen so läuft wie vor dem Vorfall. Überträgt man das auf die Geschäftsprozesse, stellt sich heraus, dass Unternehmen bei einem vollständigen Betriebsausfall innerhalb kürzester Zeit vollständig pleite wären – so stellen CISOs sicher, dass Mitarbeiter und Geschäftsführung sich ihrer Verantwortung bewusst sind.

Fazit

Einen CISO einzustellen bzw. einen IT-Mitarbeiter in diese Position zu befördern, halte ich für einen sehr guten Ansatz, um in Unternehmen ein größeres Bewusstsein für die Wichtigkeit dieser Thematik zu schaffen. Insbesondere große Unternehmen sollten diesen Schritt erwägen. Denn ein CISO beschäftigt sich in seiner Position ausschließlich mit neuen Bedrohungen und Risiken und kann sich vollkommen darauf konzentrieren. Diese Aufgabe ist nicht immer dankbar, denn es gehört auch zur Verantwortung von CISOs, der Geschäftsführung stets auf den Zehen zu stehen und sie an die Bedeutung eines ausgefeilten Sicherheitssystems zu erinnern. Das IT-Sicherheitsgesetzt stärkt die Position der CISOs zwar, ist jedoch noch zu schwammig formuliert. Ich gehe jedoch davon aus, dass kommende Entwürfe Unternehmen sehr viel stärker in die Pflicht nehmen.


 
Related Posts
 

Der IT-Branche eilt inzwischen ein attraktiver Ruf als Top-Arbeitgeber voraus. Um Talente zu halten und zu fördern, benötigen Unternehmen die richtigen Strategien. Aber: Was bietet VMware den Mitarbeitern?

Gerade bei der digitalen Avantgarde und im Start-up-Umfeld gehören ein teamorientiertes Führungsprinzip, ein zugänglicher Chef mit offener Bürotür und das gegenseitige Duzen zum guten Ton. Doch wollen Mitarbeiter überhaupt auf ihren Chef verzichten? Doch wollen Mitarbeiter ihrem Chef überhaupt gleichgestellt sein oder gar ganz auf ihn verzichten? Was meinen Sie? Ich freue mich über einen regen Austausch zu diesem Thema!

Im Zuge der Digitalisierung kommen auch etablierte Führungsprinzipien auf den Prüfstand. Schnelligkeit, Innovationskraft und Agilität sind mit herkömmlichen Management-Methoden nur eingeschränkt zu erzielen. Deshalb schwappt ein Prinzip, das in der Softwareentwicklung bereits jahrelang und mit guten Ergebnissen genutzt wird, nun auf die komplette Unternehmensführung über: Die agile Führung.

Die Amadeus IT Group ist ein führender Anbieter zukunftsweisender Technologien für die Reisebranche mit einem Umsatz von mehr als 3 Milliarden Euro. Damit die bis zu 39.000 Enduser-Transaktionen pro Sekunde verarbeitet werden können, setzt die Amadeus IT Group auf Cloud Computing- und Open Source-Lösungen von VMware.

 
 
Blog Archive