Computerwelt: Aktuelle IT-News Österreich


22.06.2011 Edmund E. Lindau

In Österreich gibt es nur wenige "echte" Chief Security Officer

Auch Security-Outsourcing kann zur Risikoquelle werden.

Der Druck auf Unternehmen, Sicherheitsmaßnahmen umzusetzen, wird immer größer. Dabei sind es nicht nur bekannt gewordene Vorfälle wie der Datendiebstahl bei RSA-Security oder der jüngste Einbruch in die Server des Internationalen Währungsfonds. Die COMPUTERWELT befragte zu diesem Thema den international tätigen Sicherheits-Spezialisten Michael Krausz.

Welche Branchen bzw. Unternehmen stehen heute vor den größten Herausforderungen, IT-Sicherheitsmaßnahmen zu setzen? Michael Krausz Konkret sind all jene Branchen und Unternehmen gefordert, deren Umsatzgenerierung direkt vom sicheren Funktionieren ihrer IT abhängt sowie zusätzlich alle Branchen, in denen intensive Forschung betrieben wird oder in denen beispielsweise gesundheitsrelevante oder andere gesetzlich unter besonderem Schutz stehende Daten verarbeitet werden. Grundsätzlich müssen die Verfügbarkeit, Vertraulichkeit und Integrität von Daten und Information umso besser geschützt werden, je näher ein Unternehmen am 24x7-Betrieb ist. Die größte Herausforderung ist, sicherzustellen, dass die Konsistenz der auf technischer und organisatorischer Ebene gesetzten Maßnahmen gewährleistet ist. Dies ist häufig noch nicht in ausreichendem Maße der Fall.

Warum hat es ein Chief Security Officer (CSO) in seinem Unternehmen so schwer? Weil viele CSO, formal betrachtet, keine sind. Im internationalen Vergleich gibt es in Österreich sehr wenige CSO, deren Funktion die Elemente Richtlinienkompetenz, Budgethoheit sowie Zusammenfassung der physikalischen und IT-Sicherheit – in Richtlinienfragen sowie kontrollierend-operativ – umfasst und die auch auf Geschäftsleitungsebene angesiedelt sind. Es kann auch eine Person in der zweiten oder dritten Führungsebene in ihrer Arbeit als CSO erfolgreich sein, wenn sie ausreichende Unterstützung durch das Top-Management erfährt. Diese lässt in Abhängigkeit vom jeweiligen Thema jedoch mitunter sehr rasch nach.

Wie kann er seine Situation verbessern? Zunächst dadurch, die Risikolage des Unternehmens durch offene und transparente Kommunikation für das Management greifbar zu machen. Dabei sollte vom Ausmalen von Schreckensszenarien Abstand genommen werden. In einer guten Risikoanalyse sprechen die Fakten für sich. Hinsichtlich Messbarkeit der Effektivität von Maßnahmen bietet sich beispielsweise ISO 27004 oder auch andere Literatur an. Mittels ISO 27004 lässt sich die Effektivität von gesetzten oder geplanten Maßnahmen recht gut erfassen. Auch ist es empfehlenswert, dass der CSO in Großunternehmen ein Team um sich aufbaut, das über umfassendes Know-how von der physikalischen Sicherheit über Netzwerk-, Datenbank- und Applikationssicherheit bis hin zur Gestaltung von Prozessen, Policies und Prozeduren verfügt. Durch so ein Team wird der CSO in der Erledigung seiner Aufgaben schlagkräftiger und kann das in der IT umgesetzte Sicherheitsniveau besser analysieren und steuern.

Macht Security-Outsourcing Sinn? Jein, das hängt von der Risikolage des Unternehmens ab. Für Unternehmen kann das Outsourcing von Teilfunktionen wie Portier, Dokumentenvernichtung, bis eventuell selbst zum Firewall-Betrieb oder sogar von internen Security-Audits durchaus Sinn machen. In solchen Fällen hängt es vom Vertrauensniveau zwischen Unternehmen und Dienstleister ab, ob und welche Art der Sicherstellung eines adäquaten Sicherheitsniveaus durch den Dienstleister selbst verlangt wird. Als allgemeine Regel empfiehlt sich vor allem eine genaue Prüfung der Sachlage, da ein Outsourcing-Provider zunächst eine zusätzliche Risikoquelle darstellt.

Wie kann sich IT-Sicherheit rechnen? Dadurch, dass in messbarer Weise die Anzahl der Vorfälle oder deren Schweregrad abnimmt oder auf null reduziert wird, sowie beispielsweise behobene Prozesslücken nicht wiederkehren. IT-Sicherheit rechnet sich aber auch dadurch, dass man bei Compliance Audits nicht durchfällt. Hier kann man höchstens über das optimale Maß bzw. Abstriche diskutieren, die sich aus Effektivität- und Effizienzüberlegungen ergeben.

Das Gespräch führte Edmund Lindau.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • NAVAX Unternehmensgruppe

    NAVAX Unternehmensgruppe Wasser- und Energieversorgung, Vereine und Verbände, Öffentliche Verwaltung, Medizin und Gesundheitswesen, Maschinen- und Anlagenbau, Konsumgüterindustrie, Immobilien,... mehr
  • Fabasoft AG

    Fabasoft AG Vereine und Verbände, Öffentliche Verwaltung, Medizin und Gesundheitswesen, Luft- und Raumfahrttechnik, Freie Berufe, Finanzdienstleistungen, Qualitätssicherung,... mehr
  • abaton EDV-Dienstleistungs GmbH

    abaton EDV-Dienstleistungs GmbH VPN, Überwachungssysteme, SPAM-Filter, Notfalls-Rechenzentren, Firewalls, Datensicherung, Backup und Recovery Systeme,... mehr
  • ELO Digital Office AT GmbH

    ELO Digital Office AT GmbH Mobile Lösungen und Applikationen, Dokumentenmanagement und ECM, Übernahme von Softwareprojekten, Systemintegration und Systemmanagement, Programmierung, Individual-Softwareentwicklung, IKT-Consulting,... mehr

Hosted by:    Security Monitoring by: