- Anzeigen -

Sie sind hier: Home » Markt » Interviews

Interview mit Dr. Christian Reiser, Consultant


"Ein seriöses Return on Security Investment kann es derzeit nicht geben" - "Internes Marketing für Informationssicherheit ist nicht nur sinnvoll, es ist unumgänglich"
"Die IT ist nicht einmal in der Lage, gute IT-Sicherheit umzusetzen, wenn nicht das gesamte Unternehmen seinen Beitrag dazu leistet"


Dr. Christian Reiser:
Dr. Christian Reiser: Informationssicherheit ist Chefsache

(22.05.07) - "Es wird schon nichts passieren", heißt es in vielen Unternehmen, wenn es um Budgets für Informationssicherheit geht. Security-Profi Dr. Christian Reiser* wurde anlässlich des "CONEX Forums Compliance & IT-Governance" am 25. April dieses Jahres von Michael Ghezzo interviewt. Reisers Tenor: Grundsätzlich ist der IT-Sicherheitsverantwortliche die falsche Person, um Informationssicherheit zu promoten. Der IT-Sicherheitsverantwortliche ist - wie der Name schon sagt - für die IT-Sicherheit zuständig. Das ist aber nur ein Teil der Informationssicherheit. Genau darin liegt aber auch zugleich das schlagkräftigste Argument des IT-Sicherheitsverantwortlichen für Informationssicherheit. Die IT ist nicht einmal in der Lage, gute IT-Sicherheit umzusetzen, wenn nicht das gesamte Unternehmen seinen Beitrag dazu leistet.

Michael Ghezzo: Bei Informationssicherheit leben viele Unternehmen nach dem Motto: Wir sind ja keine Bank oder Gesundheitseinrichtung, wir brauchen keine (so starke) Informationssicherheit. Wie sollten derartige Unternehmen mit diesem Thema umgehen?

Dr. Christian Reiser:
Zahlenmäßig gesehen sind die wenigsten Unternehmen Banken oder im Gesundheitsbereich, aber es kann kein gewinnbringendes Unternehmen geben, das keine schützenswerten Informationen hat. Bei Informationssicherheit geht es immer darum, das benötigte Sicherheitsniveau für das Unternehmen, den Geschäftsprozess oder eine Aufgabe zu erreichen, und das mit vertretbaren Kosten und vertretbaren Unannehmlichkeiten für die Betroffenen. Das gilt hier genauso wie es für jede andere Sicherheitsmaßnahme gelten sollte.

Interessanterweise gibt es Bereiche, wo es absolut nicht notwendig ist, die Sinnhaftigkeit, die Wirksamkeit, die Kosten und die Unbequemlichkeit für die Betroffenen zu begründen und abzuwägen.
Die Sicherheitseinrichtungen für Passagiere am Flughafen Wien kosten der Wirtschaft allein an zusätzlicher Wartezeit ihrer reisenden Mitarbeiter vor dem Abflug geschätzt über 1 Million Euro pro Tag. Über die Unbequemlichkeit brauchen wir nicht zu reden, aber für mich ist es wirklich interessant zu beobachten, dass die Wirksamkeit und Sinnhaftigkeit von der Allgemeinheit nicht hinterfragt wird.

Bei der Informationssicherheit haben wir leider keine so rosige Situation. Wir müssen das benötigte Sicherheitsniveau erkennen und definieren, und alle Maßnahmen darauf abstimmen. Dadurch sorgt man aber auch automatisch dafür, dass nichts übertrieben wird. Für Unternehmen, bei denen die Anforderungen an die Informationssicherheit geringer sind als bei einer Bank oder im Gesundheitswesen, wird man daher auch einfachere Maßnahmen ergreifen, die dann auch entsprechend kostengünstiger sind. Gar keine Maßnahmen bringen aber jedenfalls signifikante wirtschaftliche und rechtliche Risiken.

Ghezzo: IT-Sicherheitsverantwortliche stehen vor der Herausforderung dem Management notwendige Maßnahmen schmackhaft machen zu müssen. Welche Argumente sind Ihrer Ansicht nach die schlagkräftigsten, um intern Informationssicherheit zu promoten?

Dr. Reiser:
Grundsätzlich ist der IT-Sicherheitsverantwortliche die falsche Person, um Informationssicherheit zu promoten. Der IT-Sicherheitsverantwortliche ist - wie der Name schon sagt - für die IT-Sicherheit zuständig. Das ist aber nur ein Teil der Informationssicherheit. Genau darin liegt aber auch zugleich das schlagkräftigste Argument des IT-Sicherheitsverantwortlichen für Informationssicherheit. Die IT ist nicht einmal in der Lage, gute IT-Sicherheit umzusetzen, wenn nicht das gesamte Unternehmen seinen Beitrag dazu leistet.

Die IT kann sich darum kümmern, dass wichtige Dokumente gut abgesichert bezüglich Vertraulichkeit und Verfügbarkeit auf den Festplatten liegen und sicher über die Leitungen bis zu den Druckern transportiert werden. Wenn das Dokument aber ausgedruckt über Tage im Auswurfschacht des Druckers liegen bleibt, und der vielleicht noch in einem ungesicherten Bereich steht, so ist die IT nicht mehr in der Lage, die Sicherheit dieser Informationen zu gewährleisten. Aus dieser Situation lässt sich leicht die Notwendigkeit von unternehmensweiten Maßnahmen zur Informationssicherheit ableiten, die nun einmal Chefsache ist.

Ghezzo: Inwieweit ist ein ROSI – Return on Security Investment – sinnvoll mess- und argumentierbar?

Dr. Reiser:
Eine seriöse ROSI kann es in diesem Zusammenhang derzeit nicht geben. Um einen ROSI zu berechnen, müssen wir einerseits wissen, wie hoch die Ausgaben sind - das lässt sich berechnen - aber wir müssten auch wissen, wie viel dies Ausgaben bringen. Das heißt, wir müssten wissen, wie viel es uns kostet, wenn wir die entsprechenden Sicherheitsmaßnahmen nicht treffen. Und genau hier ist der Haken. Wir können sogar mehr oder minder gut abschätzen, was ein einzelner Sicherheitsvorfall kostet, aber wir haben absolut keine brauchbaren statistisch vertretbaren Daten über die Wahrscheinlichkeit, dass ein bestimmter Sicherheitsvorfall bei einem bestimmten Unternehmen auftritt. Ohne diese Wahrscheinlichkeit lassen sich aber die Kosten nicht berechnen, die entstehen würden, wenn man eine bestimmte Sicherheitsmaßnahme nicht umsetzt. Und damit ist ein ROSI leider nicht sinnvoll und seriös messbar.

Ghezzo: Macht internes Marketing für Informationssicherheit Sinn und welche Maßnahmen empfehlen Sie dafür?

Dr. Reiser:
Internes Marketing für Informationssicherheit ist nicht nur sinnvoll, es ist unumgänglich, wenn man entsprechende Maßnahmen erfolgreich umsetzen möchte. Der Mensch, in diesem Fall der Mitarbeiter des Unternehmens, ist nicht nur das größte Sicherheitsrisiko, sondern auch die beste Sicherheitseinrichtung, je nachdem, wie gut er geschult, sensibilisiert und motiviert ist. Jede Maßnahme im Bereich der Informationssicherheit muss jenen Personen, die davon betroffen sind, vermarktet werden. Bevorzugt erfolgt diese Vermarktung über die eigene Marketingabteilung des Unternehmens, die ausnahmsweise einmal nach innen arbeitet. Natürlich kann man mal all die typischen Marketingideen verwenden, angefangen von einem Security-Maskotchen, Broschüren, typische Give-aways, Gewinnspiele, Plakate, Mousepads.

Bei allen Maßnahmen zur Verbesserung der Sicherheits-Sensibilität liegt der Schlüssel zum Erfolg im richtigen Mix. So gesehen darf man auch die Marketing-Maßnahmen nicht allein sehen. Sie müssen mit den Schulungsmaßnahmen, Richtlinien, Prozessen und natürlich auch technischen Maßnahmen zusammenpassen. Und das wichtigste: Vorbildwirkung der Geschäftsführung.

*Dr. Christian Reiser ist unabhängiger selbstständiger Consultant für Informationssicherheit mit dem Schwerpunkt "Sicherheit der virtuellen Werte durch organisatorische Maßnahmen und Sensibilisierung". Rechtliche Aspekte behandelt er dabei ebenso wie Gruppendynamik, Kommunikation und technische Konzepte. Daneben ist er Dozent an der Fachhochschule für Informationsberufe in Eisenstadt und Vortragender bei diversen Seminaren und Schulungen, sowie Mitglied des Stopline-Beirates, des CIRCA Steering Commitees und Streitschlichter für .at-domains.
(Conex. ra)

- Anzeigen -




Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Interviews

  • Missbrauch von Daten

    Im Zusammenhang mit den schwerwiegenden Datenschutzverletzungen insbesondere der letzten beiden Jahren stellen sich bei aller Verschiedenheit der Angriffe doch einige typische Fragen. David Lin von Varonis beantwortet sie.

  • Datenverarbeitung in den USA

    Der Europäische Gerichtshof hat in einem aktuellen Urteil festgestellt, dass das sog. Safe Harbor-Abkommen zwischen der EU und den USA ungültig ist. Das Safe Harbor-Abkommen war die wesentliche Grundlage, die es erlaubte, in der EU erhobene, personenbezogene Daten an Unternehmen in den USA zu transferieren. Dr. Fabian Niemann von der Kanzlei Bird&Bird erklärt in einem kurzen Interview mit artegic, was Unternehmen beachten müssen, die bisher Daten auf Grundlage von Safe Harbor in die USA transferiert haben.

  • Trade Compliance ist sehr rechtsbezogen

    Viele international tätige Großunternehmen stehen vor der Frage, welchem Unternehmensbereich (Recht, Finanzen, Supply-Chain-Management) sie das Thema "Trade Compliance" zuordnen können und wie sie Exportkontrollen am besten organisieren. Kai Schwab, Sales Director Germany, Amber Road, sprach darüber kürzlich mit Torsten Röser, Director Export Control & ECO, Infineon Technologies AG.

  • COBIT versteht sich als Integrator-Rahmenwerk

    COBIT hatte seinen Ursprung im Bereitstellen von Checklisten und Kontrollzielen für IT-Revisoren. Die IT-Prüfer und das IT-Management haben sich aber oft nicht wirklich verstanden, weil beide mit unterschiedlichen Begriffen und Vorgehensmodellen gearbeitet haben. ISACA, der Eigentümer und treibende Verein hinter COBIT, hat dies bereits seit der Version 3 erkannt und kontinuierlich versucht, die beiden Welten zusammenzuführen. Mit der Version 5 von COBIT hat man sich nun definitiv von Begriffen wie "Control Objectives" verabschiedet und ein ganzheitliches, ausgereiftes Governance- und Management-Framework bereitgestellt.

  • Der Schlüssel zur sicheren Datenübertragung

    Von kurzen Notizen bis hin zu geschäftskritischen Informationen mit vertraulichen Anhängen - alles wird heute via E-Mail versendet. Dennoch sind die Übertragungswege häufig nicht ausreichend vor unberechtigten Zugriffen geschützt. Warum das so ist und wie sich das mit Ende-zu-Ende Verschlüsselung mit vergleichsweise geringem Aufwand ändern ließe, erläutert Marcel Mock, CTO und Mitbegründer von totemo.