Sie sind hier: Home » Markt » Interviews

Interview mit Dr. Christian Reiser, Referent


IT Compliance und IT Governance verlangt Nachvollziehbarkeit: Beschriebene Abläufe im Unternehmen müssen der Realität entsprechen
Mit den IT-Standards kommtein wichtiger Aspekt dazu: Man hat einen guten Schummelzettel, um nichts Wichtiges zu vergessen

(06.03.07) – "Weder Firewalls noch COBIT ersetzen den gesunden Menschenverstand", meint Dr. Christian Reiser, Experte für Informations-Sicherheit im Vorfeld des Conex-Forums "Compliance & IT-Governance" am 25. April 2007 in Wien. Im Gespräch mit Michael Ghezzo differenziert er klar zwischen IT-Security und Informationssicherheit. Wenn man es schaffe, im Rahmen von Compliance und IT-Governance die entsprechende Motivation aufzubauen, werde die Verbesserung der firmeninternen Prozesse und damit die Verbesserung des Unternehmens zu einem Selbstläufer. Außerdem verlangen Compliance und IT-Governance Nachvollziehbarkeit.

Michael Ghezzo: Sie plädieren für eine umfassende Sicht der Risken im Unternehmen, weg vom Begriff IT-Security hin zur Informationssicherheit. Was verstehen Sie darunter und wie weit gibt es in Unternehmen ein Bewusstsein für die Anforderungen der Informationssicherheit?

Christian Reiser: Ziel der Informationssicherheit ist, genau die richtigen Informationen zum genau richtigen Zeitpunkt bei genau den richtigen Personen zu haben. Das ist deutlich mehr als IT-Sicherheit. Während die Security nur die Computerdaten mit den zugehörigen Systemen behandelt, gilt es bei der Informationssicherheit alle Informationen unabhängig vom Datenträger zu schützen. Also auch jene Informationen auf Papier oder im Kopf der Mitarbeiter.
Letztendlich ist es für ein Unternehmen egal, auf welchem Weg geheime Informationen das Unternehmen verlassen oder wichtige Informationen verschwinden. Weg ist weg, und der Schutz durch Sicherheitsmassnahmen der IT hat seine Grenzen.
Leider ist es für Unternehmen bedeutend leichter, das Gewissen im Bereich der IT-Security zu beruhigen. Man kauft neue oder bessere IT-Security-Einrichtungen und glaubt schon, ruhig schlafen zu können. Will man sich wirklich in Bezug auf Informationssicherheit verbessern, so gilt es, an der Firmenkultur und mit allen Mitarbeitern zu arbeiten. Das ist nicht so einfach, bringt aber erst die richtigen Fortschritte.

Michael Ghezzo: Compliance wird in vielen Unternehmen als reiner Kostentreiber gesehen. Welche Vorteile haben Unternehmen, die Compliance und IT-Governance ernsthaft betreiben?

Christian Reiser: Wenn Sie hier "ernsthaft betreiben" sagen, gehe ich davon aus, dass Sie meinen, die Unternehmen betreiben es nicht nur, um das entsprechende OK von der entsprechenden Stelle zu bekommen.
Es gibt zwei wertvolle Hebel, die man im Zuge von Compliance und IT-Governance gewinnbringend einsetzen kann.
Grundsätzlich wissen alle Mitarbeiter eines Unternehmens immer sehr genau, was man verbessern oder welche Schwachstellen man ausmerzen kann. Meist fehlt es nur an der Kommunikation und an den Möglichkeiten für den einzelnen, dieses Wissen einzubringen.
Wenn man es schafft, im Rahmen von Compliance und IT-Governance die entsprechende Motivation aufzubauen, wird die Verbesserung der firmeninternen Prozesse und damit die Verbesserung des Unternehmens zu einem Selbstläufer.
Außerdem verlangen Compliance und IT-Governance Nachvollziehbarkeit. Das heißt, sie müssen ihre wichtigsten Abläufe im Unternehmen zunächst einmal beschreiben und dafür sorgen, dass sie so beschrieben werden, wie gelebt.
Durch die damit verbundene strukturierte Vorgangsweise bietet sich auch die Möglichkeit, Schwachstellen und Verbesserungspotentiale zu erkennen, und die entsprechenden Änderungen umzusetzen. Dabei kann man seinen Horizont dann auch von der IT-Security zur Informationssicherheit erweitern.
Beide Hebel gemeinsam sind schon fast ein Garant für Erfolg.

Michael Ghezzo: Zahlreiche Standards wie COBIT, ITIL, oder ISO 27001 bieten sich an, um die Compliance- und Sicherheitsanforderungen des Unternehmens zu lösen. Worin besteht Ihrer Ansicht nach der wahre Nutzen dieser Standards?

Christian Reiser: Ich füge dieser Reihe von Standards immer noch gern einen weiteren hinzu: Den Standard des Gesunden Menschenverstandes.
Egal, welchen der von Ihnen genannten Standards man einsetzt, man kann ihn immer so umsetzen, dass man möglichst rasch das Zertifikat bekommt, oder so, dass man wirklich Vorteile davon hat.
Zusätzlich zu den Aspekten, die ich Ihnen bereits bei Ihrer Frage zu Compliance und IT-Governance geschildert habe, kommt mit den Standards noch ein wichtiger Aspekt dazu: Man hat damit einen guten Schummelzettel, dass man nichts Wichtiges vergisst. Meist wird nämlich nur IT-Security, und nicht Informationssicherheit behandelt.
Es gilt nur stets zu beachten: Der Standard muss (soweit möglich) dem Unternehmen angepasst werden, in dem er angewandt wird, und nicht umgekehrt.

Michael Ghezzo: Inwieweit lassen sich Wirtschaftlichkeit, Wettbewerbsfähigkeit und Sicherheit sinnvoll unter einen Hut bringen? Was raten Sie Unternehmen?

Christian Reiser: Ich sehe keinen Widerspruch in Wirtschaftlichkeit, Wettbewerbsfähigkeit und Sicherheit. Ganz im Gegenteil, die drei ergänzen sich hervorragend.
Ich glaube nicht, dass es gut für die Wirtschaftlichkeit eines Unternehmens ist, wenn die immateriellen Werte wie Firmengeheimnisse, Strategien oder sonstiges einzigartiges Know-how deshalb nicht wirtschaftlich ausgenützt werden können, weil sie doch nicht so geheim sind, und zum Beispiel der Mitbewerber sie schon kennt. Ähnliches gilt für die Wettbewerbsfähigkeit.
Für jedes Unternehmen gibt es ein für dieses Unternehmen richtiges Sicherheitsniveau. Es ist meist gar nicht so schwierig, dieses Niveau herauszufinden, weil es in der Regel sowieso im Unterbewusstsein der Mitarbeiter schlummert. Es hervorzuheben, bedarf keiner wissenschaftlicher Arbeiten.
Ich rate den Unternehmen und begleite sie dabei, gezielt ihr Sicherheitsniveau zu definieren, und dann nach Wichtigkeit gereiht die einzelnen Maßnahmen Schritt für Schritt umzusetzen.

Christian Reiser, Experte für Informations-Sicherheit ist als Referent auf dem Conex Forum "Compliance & IT-Governance" am 25. April 2007 in Wien.
(Conex: ra)


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Interviews

  • Orientierung am "Goldstandard" DSGVO

    "Ich bin der festen Überzeugung, dass wir weltweit eine Art "Dominoeffekt" bei der Einführung von Datenschutzvorschriften sehen werden, die sich alle am "Goldstandard" DSGVO orientieren. Aber dies ist weniger auf die Corona-Pandemie zurückzuführen, sondern hat eher mit dem Druck der Bevölkerung zu tun, die nicht mehr bereit ist, rücksichtsloses Verhalten zu akzeptieren", Michael Hambsch, Director Solution Consulting Continental Europe bei Snow Software äußert sich zum Thema Umgang mit Datenschutz und -sicherheit.

  • Elektronischer Rechnungsaustausch

    Die Experten Prof. Dr. Georg Rainer Hofmann vom eco - Verband der Internetwirtschaft e.V., Stefan Groß vom VeR, Verband elektronische Rechnung sowie Ha Doan von Comarch diskutieren Status und Entwicklung der elektronischen Rechnung. Sie alle sind beim Impulstag Digitalisierung am 25.06. in Garching vor Ort und werden dort mit Mirjana Stanisic-Petrovic vom Fraunhofer IAO umfangreiche Einblicke in ihre Erfahrungen geben.

  • Test auf das Down-Syndrom

    Der Theologe und Vorsitzende des Ethikrates, Peter Dabrock, befürwortet die kostenlose Abgabe eines Bluttests zur Früherkennung der Trisomie 21 bei schwangeren Frauen. Angesichts der Rechtslage und im Vergleich zu dem, was schon bezahlt werde, sehe er keinen Grund dafür, weshalb die Gesetzliche Krankenversicherung (GKV) diesen Test auf das Down-Syndrom bei Risikoschwangerschaften nicht bezahlen sollte, sagte Dabrock der Wochenzeitung "Das Parlament" (Montagausgabe). Der Wissenschaftler von der Friedrich-Alexander-Universität Erlangen-Nürnberg geht nicht davon aus, dass mit der kostenlosen Abgabe eines solchen Tests die Zahl der Schwangerschaftsabbrüche stark steigt. Er sagte: "Wir haben jetzt schon eine sehr hohe Zahl an Abbrüchen nach identifizierter Trisomie 21. Die würde vielleicht noch etwas steigen, aber es würde nicht auf ein Vielfaches hochschnellen mit der Neuregelung." Was die Spätabtreibungen betreffe, dürften die Zahlen eher rückläufig sein. Dabrock betonte: "So zu tun, als würde mit dem nichtinvasiven Test ein Damm gebrochen oder eine Grenze überschritten, das trifft einfach nicht zu."

  • Gut für Anwälte, schlecht für Anwender

    Das Bundeskabinett hat einen Gesetzentwurf zum Datenschutz beschlossen. Das geplante Ausführungs- bzw. Anpassungsgesetz soll die ab Mai 2018 geltende EU-Datenschutz-Grundverordnung (DSGVO) in nationales Recht umsetzen. Im Folgenden bewerten und erläutern drei Experten den Gesetzentwurf: Dr. Stefan Brink: Landesbeauftragter für Datenschutz und Informationsfreiheit in Baden-Württemberg; Mitherausgeber eines der führenden Datenschutzkommentare in Deutschland, Jan Philipp Albrecht: Mitglied des Europaparlaments; Berichterstatter des EU-Parlaments für die DSGVO-Gesetzgebungsverfahren, und Tim Wybitul: Partner der Wirtschaftskanzlei Hogan Lovells; JUVE führt ihn als einen der führenden deutschen Rechtsanwälte im Datenschutz; Herausgeber der Zeitschrift für Datenschutz (ZD) und Autor des Praxisleitfadens EU-Datenschutz-Grundverordnung im Unternehmen. Die Fragen stellte Peter Herkenhoff, Corporate Communications Manager bei Hogan Lovells in Düsseldorf.

  • Forderungsmanagement: Aufgabe für die Kommune

    Kirsten Pedd, Präsidentin des Bundesverbands Deutscher Inkasso-Unternehmen (BDIU), kritisiert in einem Interview die schlechte Zahlungsmoral der öffentlichen Hand. Pedd sagt: "Kommunale Forderungen werden zu fast 90 Prozent vollständig und pünktlich beglichen. Die 10 Prozent, bei denen das nicht der Fall ist, bereiten aber Probleme."

Interview mit Dr. Ulf Böge, Bundeskartellamt Interview mit Rainer Knyrim, Rechtsanwalt

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen