Sechs Wege, das Management von IT-Sicherheit zu überzeugen

IT-Sicherheit – das ist doch wohl Sache der IT-Experten. Das zumindest meint oft die Führungsebene und hat damit gleich einen Sündenbock, wenn dann doch mal ein Sicherheitsleck auftritt. Und bisher lief doch alles glatt, oder? Das Problem: In den wenigsten Fällen der Datenspionage weist der Dieb mit einem Hinweis “Sie wurden gehackt” darauf hin. Um das Management deshalb schnell von Investitionen in Sicherheit zu überzeugen, gibt es sechs gute Gründe.

1. Vorstände frühzeitig einbeziehen

Der gesamte Führungsstab sollte von Anfang an in die Planung einbezogen werden. Die IT-Abteilung muss dazu in einer nicht-IT-Sprache Nutzen und Vorteile eines ISMS (Information Security Management System) verständlich darlegen. Geeignet dafür sind Showcases, also “was wäre wenn”. Denn alle Theorie ist oft grau und wenig überzeugend.

2. Einen überschaubaren Anwendungsbereichs wählen

Vermeiden Sie zu große Ziele und visieren Sie lieber kleine Schritte an, die kontinuierlich verbessert werden. Das vermeidet Mammut-Investitionen in komplexe ISMS und zeigt schneller Erfolg. Setzen Sie also die Maßnahmen zunächst in Teilbereichen und Abteilungen um und dann im gesamten Unternehmen. Dadurch werden Fehler schneller erkannt und im Großeinsatz nicht mehr vorhanden.

3. Dokumentieren, kommunizieren, sensibilisieren

Nutzen Sie Management Boards, um die Leitungsebene regelmäßig über IT-bezogene Risiken in Kenntnis zu setzten. Das funktioniert auch, wenn es noch kein systematisches IT-Risikomanagementsystem gibt oder dieses bisher nicht die oberste Priorität hatte.

4. Arbeiten Sie eng mit Fachabteilungen zusammen

Schaffen Sie ein Sicherheitsbewusstsein, indem Sie als CIO oder CISO die Fachabteilungen in alle Prozesse mit einbinden. Schließlich sind sie es, die von den Maßnahmen profitieren. Deshalb können auch nur die Fachabteilungen die Sicherheitsziele festlegen und müssen in die Verantwortlichkeit dazu genommen werden. Die IT-Experten können daraus dann die entsprechenden Lösungen entwerfen und im Auftrag umsetzen. Achten Sie aber darauf, dass die Abteilungen genug Mitspracherecht haben, sonst könnten sie sich schnell drangsaliert fühlen.

5. Einsparpotenziale durch Standardisierung und bedarfsgerechte Sicherheit

Am schnellsten überzeugt man das Management von Investition in Sicherheitsmaßnahmen, wenn man die damit verbundenen Einsparungen aufzeigt. Die hohen Kosten, die durch unsystematische Maximalabsicherungen entstehen, können reduziert werden, wenn alle Maßnahmen differenziert eingesetzt werden. Natürlich ist hierzu eine bedarfsgerechte Analyse notwendig, die von den bestehenden Geschäftsprozessen und einem potenziellen Schaden ausgeht. So kann Schutz genau an den Stellen eingeführt werden, wo die Kosten für diesen in einem gesunden Verhältnis zu einem potentiellen Verlust stehen. Dem Management muss dabei klar gemacht werden, dass die Umstellung des Sicherheitsmanagements auf ein standardisiertes ISMS nicht automatisch zusätzliche Kosten verursacht, sondern das Sicherheitskonzept dadurch effektiver und effizienter wird und Kosten einspart.

6. Machen Sie den Wandel von IT-Sicherheit zur Informationssicherheit deutlich

Bisher galt, dass wenn die IT-Systeme und -Infrastruktur eines Unternehmens sicher sind, auch die Informationen darin sicher sind. Also wurde alles so gut es geht abgesichert, was insgesamt gesehen enorme Kosten verursacht. Kennen Unternehmen dagegen ihre Geschäftsrisiken genau, dann können genau die Sicherheitsmaßnahmen zielgerichtet eingesetzt werden, die den größten Nutzen für den Unternehmenserfolg erbringen. Die klassische IT-Sicherheit wird also zur Informationssicherheit.