Managementaufgabe: IT Sicherheit

Torsten Richter, Dr. Norbert Witowski Managementaufgabe: IT Sicherheit Grundlagen für ein funktionierendes IT Sicherheitssystem Sicherheit in der Informatik ist mehr als der Schutz vor dem imaginärem Bösen, vielmehr ist es eine Managementaufgabe die alle Aspekte möglicher unternehmensbedrohender Risiken von IT Systemen im Unternehmen behandelt. Dies hat auch der Gesetzgeber er- kannt und nimmt Vorstände und Geschäftsführer in die Pflicht. Aus der Nutzung von Informationstechnologie die den Bestand der Gesellschaft gefährden. entstehen Risiken, die sich in 3 Kategorien Das zu schaffende Risikofrüherkennungssys- gliedern lassen. Dies sind organisatorische, tem ist daher auf die Erkennung von Entwick- infrastrukturelle sowie anwendungs- und lungen auszurichten, die eine wesentliche prozessbezogene Risiken. Auswirkung auf die Vermögens-, Finanz- oder Ertragslage haben. Als Risikofrüherkennungs- Dabei sind die Faktoren der Wertbestimmung system ist im Einzelnen ein Frühwarnsystem, durch die Grundwerte Authentizität, Integri- ein Risikomanagement mit Risikoklassifizie- tät, Verfügbarkeit und Vertraulichkeit be- rung und Risikoberichtswesen und ein Risiko- schrieben. Diese gilt es, mithilfe eines IT- Controlling gefordert. Risikomanagements, zu schützen. Die Bedeutung des BDSG für die Da- tensicherheit ergibt sich daraus, dass Daten- Neben dem Eigennutzen, den ein Unterneh- schutz insbesondere auch durch Datensicher- men von einer funktionierenden IT- heit gewährleistet werden soll und das Gesetz Sicherheitsfunktion ableiten kann, sind ge- dazu bestimmte Anforderungen aufstellt. setzliche Regelungen für die Notwendigkeit eines IT-Risikomanagements entscheidend. Werden innerhalb eines Unternehmens erfor- Insbesondere das Bundesdatenschutzgesetz derliche Maßnahmen zur IT-Sicherheit (BDSG) und das Gesetz zur Kontrolle und schuldhaft nicht oder nicht hinreichend ge- Transparenz im Unternehmensbereich troffen, so droht bei einem dadurch eingetre- (KonTraG) sind rechtliche Vorgaben, welche tenen Schaden bei Dritten stets eine entspre- in Unternehmen zu beachten sind. Das chende Schadensersatzverpflichtung. Solche KonTraG ist ein Artikelgesetz, welches Aus- Schadensersatzansprüche ergeben sich dabei wirkungen im Aktiengesetz (AktG) und Han- entweder aus Verträgen mit dem Dritten oder delsgesetzbuch (HGB) findet. Daraus ergibt aus Gesetzen (z.B. §§ 823 ff BGB oder § 7 sich im Wesentlichen die Einführung des § 91 BDSG). Abs. 2 des AktG. Der eingefügte Absatz lau- tet: Unternehmen haben verkehrsübliche Sorg- faltspflichten einzuhalten, d.h. die im Rahmen ‚Der Vorstand hat geeignete Maßnahmen zu der IT-Sicherheit zu treffenden Maßnahmen treffen, insbesondere ein Überwachungssys- haben sich insbesondere daran zu orientie- tem einzurichten, damit den Fortbestand der ren, was von einem Unternehmen der betrof- Gesellschaft gefährdende Entwicklungen früh fenen Art aus Sicht eines objektiven Dritten erkannt werden.“ zu erwarten ist. Dabei sind insbesondere auch die unternehmensspezifischen Risiken Diese Vorschrift ist einerseits im Zusammen- zu berücksichtigen. hang mit § 76 Abs. 1 AktG zu sehen. Hier- Aufgrund des Haftungsrisikos ist die nach ergeben sich aus der Leitungspflicht für IT-Sicherheit heute Managementaufgabe und die Vorstandsmitglieder auch Organisations- muss innerhalb des Unternehmens daher an pflichten zur Sicherung des Unternehmens- entsprechend verantwortlicher Stelle im Un- fortbestandes. Andererseits ist zu beachten, ternehmen angesiedelt sein. dass Verstöße der Unternehmensleitung ge- gen ihre Verpflichtungen gemäß § 91 Abs. 2 Die organisatorische Zuordnung von IT AktG zu einer Schadensersatzverpflichtung Sicherheitsbeauftragen ist insbesondere von gemäß § 93 Abs. 2 AktG führen. Dies bedeu- der Anforderung an Unabhängigkeit zur IT- tet eine persönliche Haftung der Vorstands- Funktion eines Unternehmens bestimmt. Si- mitglieder gegenüber der Gesellschaft. cherheitssteigernde Maßnahmen stehen ins- Bei der Frage, welche Risiken durch § besondere in Bezug auf die Kostensituation 91 Abs. 2 AktG adressiert werden, hat der oft im Gegensatz zu den Interessen der IT Gesetzgeber die Vorgabe gemacht, dass es Funktionen. Dort sind finanzielle Mittel insbe- sich um solche Entwicklungen handeln muss, sondere für die Erweiterung von Informati- Informatik Agentur RW oHG Adenemer Weg 22 38302 Wolfenbüttel http://www.informatik-agentur.com Seite 1 von 2 Torsten Richter, Dr. Norbert Witowski onstechnologie und die Vereinfachung der Verwaltung der IT vorgesehen. Die fachliche Kompetenz eines Verantwort- lichen für das Thema IT Sicherheit ist insbe- sondere durch die spezielle Aufgabe be- stimmt. So ist ein IT Sicherheitsbeauftragte immer Mittelsmann zwischen den Interessen des Nutzers, der IT-Funktion und dem Mana- gement. Daher sind eine gewisse Praxisnähe, kaufmännische und technische Kenntnisse erforderlich. Eine Reduzierung von sicherheitsrelevan- ten Risiken innerhalb der IT ist für alle Be- drohungswege anzustreben. Dabei sind auch Telekommunikationswege wie TK-Anlagen, Modem-, ISDN und Wartungszugänge zu beachten. Diese Reduzierung wird dadurch erreicht, indem geeignete Maßnahmen in Abhängigkeit zum Risiko getroffen werden. Die Risikoanalyse ist dabei durch den IT- Sicherheitsbeauftragten zu organisieren. Die Risikoeinschätzung unterliegt dabei jedoch zwangsläufig dem System bzw. Prozesseig- ner. Voraussetzung ist die Erstellung einer unter- nehmensweit gültigen Policy, die aus ver- schiedenen Richtlinien bestehen, die Benut- zung und Management von Informations- technologie beschreiben. Dabei ist intensiv darauf zu achten, dass diese für jeden Mitar- beiter verständlich ist und rechtlich bindend gemacht wird. Dies kann nur durch Weisung erfolgen. Grundsätzlich ist der Einbezug der Mitarbeiter eine grundlegende Maßnahme die eine so genannte ‚Awareness’ erzeugen soll. Diese Notwendigkeit wird insbesondere da- durch begründet, dass diversen Studien zu folge der Anteil an erfolgreichen Angriffen auf IT Systeme zu mehr als 50% von aktuellen oder ehemaligen Mitarbeitern, sog. Insidern ausgeht. Neben dem Aufbau eines IT- Risikomanagements sind zusätzliche Maß- nahmen denkbar und durchaus realisierbar. So haben insbesondere universitäre Einrich- tungen und Finanzdienstleister die Vorreiter- rolle bei der Implementierung von ‚Tiger Teams’ eingenommen. Dies sind aus Exper- ten zusammengesetzte Gruppen, die bei neu- en und bestehenden Systemen mit den glei- chen Werkzeugen und Tricks, wie Hacker sie anwenden, Schwachstellen aufdecken. Dabei werden technische Möglichkeiten genauso genutzt wie das so genannte ‚Social Enginee- ring’, welches die Schwachstelle Mensch als Penetrationsmöglichkeit für Systeme aus- nutzt. Seite 2 von 2