Gastkommentar: Whistle-Blowing versus IT-Security Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


25.03.2011 Johannes Mariel*

Gastkommentar: Whistle-Blowing versus IT-Security

In der Umgangssprache beschreibt "Whistle Blowing" die nicht autorisierte Enthüllung vertraulicher Informationen – sei es aus Überzeugung oder für einen persönlichen Vorteil.

Informationssicherheit dagegen hat aus Sicht einer Organisation das Ziel, die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen »angemessen« zu schützen. Inwieweit kann also die Umsetzung des internationalen Security-Regelwerks ISO 27001 einem Phänomen wie dem öffentlichen »Vernadern« vorbeugen – und gleichzeitig Transparenz etwa im Rahmen eines Meldewesens ermöglichen?

ISO 27001 sieht diverse Maßnahmen zur Sicherstellung der »Personnel Security« vor: Demnach ist der Nutzer einer Information von ihrem Vertraulichkeitsstatus in Kenntnis zu setzen, wozu Richtlinien zu erstellen sind. Ebenso sind die Mitarbeiter bei ihrer Aufnahme auf Vertrauenswürdigkeit zu überprüfen und zur Beachtung von Sicherheitsregeln zu verpflichten. Während der Beschäftigung sind Mitarbeiter regelmäßig über relevante Sicherheitsregeln zu informieren und bei Verstößen zu disziplinieren. Die Vorbildwirkung der Führungskräfte, aber auch Praxis-Workshops und Schwerpunkt-Aktionen gelten als effektive Bausteine zum Aufbau einer Sicherheitskultur. ISO-27002-Controls wie Regeln zur Zugriffskontrolle nach dem Need-to-Know-Prinzip, zur Aufgaben- und Funktionstrennung oder zur Data Leakage Prevention erhöhen den Schutz.

Die Wirksamkeit aller dieser Maßnahmen ist letztlich von der persönlichen Akzeptanz der Mitarbeiter abhängig. Die Übereinstimmung der moralischen Werte eines Unternehmens mit denen seiner Mitarbeiter ist bestimmender Faktor für jene Schwelle, die Whistle Blower überschreiten. Hier entfaltet die ISO-27000-Familie ihre Stärke als Regelwerk, das keine starren Vorgaben definiert, sondern kreative Denkprozesse anstößt. Vor allem auch über das Instrument des Risikomanagements: Stellt eine Organisation sicher, dass das Fehlverhalten Einzelner bei Bekanntwerden abgestellt und geahndet wird, reduziert dies das Whistle-Blowing-Risiko deutlich. Eine fehlertolerante Kultur mit einer klaren Unterscheidung zwischen absichtlichem Fehlverhalten und entschuldbaren Fehlern nach dem Grundsatz »Jeder Sicherheitsverstoß hat eine Ursache, aber nur wenige haben ein persönliches Verschulden«, schafft zufriedene und loyale Mitarbeiter.

* Der Autor ist CSO des Bundesrechenzentrums.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • Snap Consulting - Systemnahe Anwendungsprogrammierung u Beratung GmbH

    Snap Consulting - Systemnahe Anwendungsprogrammierung u Beratung GmbH Wasser- und Energieversorgung, Öffentliche Verwaltung, Medizin und Gesundheitswesen, Maschinen- und Anlagenbau, Luft- und Raumfahrttechnik, Logistik, Konsumgüterindustrie,... mehr
  • ectacom GmbH

    ectacom GmbH Aus- und Weiterbildung, IT-Asset- und Lizenzmanagement, Übernahme von Softwareprojekten, Datenschutz, Antiviren- und Virenscanner Software, Backup und Recovery Systeme, Firewalls,... mehr
  • Dimension Data Austria GmbH

    Dimension Data Austria GmbH Call Center, IKT-Consulting, Migrations-Management, Outsourcing, Systemintegration und Systemmanagement, Systempflege- und Wartung mehr
  • mic customs solutions (Gruppe)

    mic customs solutions (Gruppe) Supply Chain Management, Kaufmännische Software (ERP), Expertensysteme, E-Procurement und Supply Chain Management, B2B Dienste und Lösungen mehr

Hosted by:    Security Monitoring by: