Home - improve
Unser Angebot
Presse-Forum
Veröffentlichungen
Referenzen
Kontakt
Termine

“IT-Sicherheit muss zur Aufgabe des Managements werden“

Kein E-Commerce ohne E-Quality

Die Migration der Old Economy zur informationsbasierten New Economy erfordert eine Neudefinition der gegebenen Sicherheitsanforderungen und Qualitätskriterien. Denn im Wandel der Industrie- zur Wissensgesellschaft stellt die Information die wichtigste Komponente dar. Sie gilt es zu schützen und zu sichern. Dies bedeutet für die meisten Unternehmen jedoch einen geistigen Umbruch in Sachen Sicherheits- und Qualitätsmanagement.

DATACOM sprach mit Guido Gluschke, Geschäftsführer der VICCON Consulting GmbH, Ettlingen, über seine Erfahrungen bei der Transformation klassischer Geschäftsprozesse zu modernen New-Economy-Strukturen.

DATACOM: Ein Großteil der Unternehmensumsätze und –gewinne wird heute auf der Grundlage der vorhandenen IT-Strukturen erwirtschaftet. Sind sich die Unternehmen dessen bewusst? Werden diese IT-Strukturen ausreichend gesichert?

Gluschke: Vielen Verantwortlichen mittlerer und großer Unternehmen ist scheinbar noch nicht in letzter Konsequenz klar geworden, dass die DV zum Rückgrad des Unternehmenserfolgs geworden ist und die meisten Geschäftsprozesse ohne DV-Unterstützung nicht mehr denkbar sind. Aus diesem Grund wird vielerorts zu wenig getan, um die technischen DV-Einrichtungen und die Informationen, die mit ihnen verwaltet werden, ausreichend zu schützen. So wurde in verschiedenen Studien festgestellt, dass die Unternehmen in die Pflege und Aufrechterhaltung der Old-Economy etwa 30 mal mehr investieren in die Sicherung ihrer New-Economy-Strukturen.

Woran liegt das?

Gluschke: Viele Unternehmer können sich nicht vorstellen, dass ihre Datenbestände für irgendwelche Hacker von Interesse sein könnten. Sie wiegen sich deshalb in Sicherheit. Doch hier ist Vorsicht geboten. Viele Hacker versuchen gar nicht gezielt in bestimmte Netze einzudringen. Sie scannen mit entsprechenden Werkzeugen einfach die einzelnen Netze automatisch auf Sicherheitslücken ab und dringen in das Netz ein, das ihnen als erstes eine Tür öffnet. Es wird klar, dass somit wirklich jeder das Opfer von Hackerangriffen werden kann. Ein weiteres Problem ist, dass der direkte Nutzen von Maßnahmen zur Erhöhung der IT-Sicherheit nicht ohne weiteres beweisbar ist. Denn wenn Daten gestohlen werden, wirkt sich das in der Regel nicht nachteilig auf das buchhalterische Ergebnis eines Unternehmens aus. Das ist ganz anders bei den Werten der Old-Economy. Hier hat beispielsweise der Verlust von körperlichen Waren direkt negative Auswirkungen auf das betriebliche Ergebnis. Dazu kommt, dass die New Economy gerade einmal seit fünf bis sechs Jahren existiert und somit einfach noch zu jung ist, um sich in allen Köpfen ausreichend etabliert zu haben.

Wie stellt sich die aktuelle Situation in den Unternehmen dar?

Gluschke: Die meisten Unternehmen haben inzwischen erste Schritte eingeleitet, um das vorhandene DV-Equipment zu schützen. Dies wird aber meist nur halbherzig getan. Oft ist der Wille zu IT-Security nur ein Lippenbekenntnis. Für viele Unternehmer ist die Angst vor einem Image-Verlust die einzige Motivation für Investitionen in IT-Security. Deshalb stehen sie oft nicht mit letzter Konsequenz hinter den entsprechenden Maßnahmen, die meist unstrukturiert und ohne Methodik losgetreten werden.

Was genau meinen Sie damit?

Gluschke: Es ist nicht damit getan, dass man einem Mitarbeiter das IT-Security-Schild um den Hals hängt und ihn zum IT-Sicherheitsbeauftragten macht. Große Unternehmen kalkulieren übrigens im Durchschnitt gerade einmal einen IT-Sicherheitsbeauftragten je 3000 Mitarbeitern ein. Dieser kommt in der Regel aus dem technischen Bereich, meist aus der Netzbetreuung. Er steht plötzlich vor einem riesigen Berg von Sicherheitsproblemen, die es zu organisieren gilt. Ihm fehlt meist der Einblick in die internen Strukturen und Zusammenhänge des Unternehmens. Diese müssen ihm aber bekannt sein. Denn bei der Einführung von IT-Security reicht es nicht aus, irgendwelche Hardwarekomponenten wie z.B. Firewalls zu installieren. Es bedarf außerdem einer Vielzahl organisatorischer Sicherheitsmaßnahmen, die es zu beachten gilt. Diese sind eng verbunden mit betrieblichen und juristischen Rahmenbedingungen. Dazu kommt, dass sich der IT-Sicherheitsbeauftragte einer großen Organisation meist irgendwo in der fünften oder sechsten Hierarchiestufe des Unternehmens-Organigramms befindet und dementsprechend wenig Befugnisse hat. Das ist der falsche Weg. Ein IT-Sicherheitsbeauftragter braucht die nötige Kompetenz, das Know-how, den Überblick und auch das entsprechende finanzielle Budget um seine Forderungen vor den verschiedenen Abteilungen vertreten und durchsetzen zu können. Bei einem Hackerangriff aus dem Internet muss er zum Beispiel sehr kurzfristig die Entscheidung treffen dürfen, die Firewall abzuschalten und damit das ganze Unternehmen vom Internet zu nehmen. Solche Entscheidungen bedürfen eines vollständigen Überblicks und eines kurzen Wegs zum Management. Außerdem darf IT-Sicherheit nicht als Insellösung betrachtet werden, sondern muss in das Gesamtkonzept des Unternehmens einbezogen werden. Das Management muss dafür sorgen, dass die IT-Sicherheit mit dem klassischen Gebäude-, Personen- und Datenschutz Hand in Hand arbeitet und sich diese vier Bereiche zu einem sinnvollen Ganzen ergänzen.

Welche Maßnahmen schlagen Sie vor, um dies zu erreichen?

Gluschke: IT-Sicherheit muss zur Managementaufgabe gemacht und als Stabstelle „Konzern-Sicherheit“ auf der Vorstandsebene platziert werden. Ein wenig Abstand und Neutralität, insbesondere der IT-Abteilung gegenüber, ist zur erfolgreichen Arbeit unbedingt erforderlich. Der zuständige Mitarbeiter sollte neben Kenntnissen zum Qualitätsmanagement über ein gutes IT-Verständnis verfügen, um zu verstehen, dass IT-Prozesse viel schneller an sich ändernde Gegebenheiten adaptieren werden müssen, als die klassischen Produktionsprozesse in der Old Economy. Da sich nur selten Mitarbeiter finden, die die nötige IT- und Management-Kompetenz vereinen und über ein entsprechendes Standing im Unternehmen verfügen, unterstützt VICCON den neuen Mitarbeiter mit geeigneten Coaching-Maßnahmen. Dabei soll der Mitarbeiter schnellstmöglich in Einklang mit den Managementzielen auf seine neuen Aufgaben hingeführt werden. In einem ersten Schritt sorgen wir dafür, dass dem Thema IT-Security der nötigen Stellenwert im Unternehmen zugesichert wird. Dann helfen wir dem Mitarbeiter, seine nahezu unzähligen neuen Aufgaben zu analysieren und in einer Roadmap zu ordnen. Der Mitarbeiter wird von uns so geschult, dass er die komplexen Prozesse und Sachverhalte sowie die für ihn zum Teil fachfremden Zusammenhänge verstehen kann. In mehreren Workshops werden seine Wissenslücken genau analysiert, fehlendes Know-how ergänzt und das strukturierte Denken gefördert. Das geht so weit, dass wir ihn bei Bedarf auch in Sachen Didaktik, Psychologie und Rechtsfragen fördern. Der verantwortliche Mitarbeiter erhält so das nötige Vertrauen in sich selbst und das notwendige Durchsetzungsvermögen, um seine Ziele in den verschiedenen Gremien und Abteilungen seiner Firma durchsetzen zu können. Wir vermitteln ihm eine gesamtheitliche Sichtweise seines Aufgabengebiets sowie das Verständnis der verschiedenen Blickwinkel von Mitarbeitern und Management. Außerdem helfen wir bei der Definition der unternehmensweiten Sichheitsstrategie und überwachen die effiziente Durchführung der einzelnen Schritte. Während der gesamten Einführungsphase stehen wir beratend zur Seite und übernehmen auf Wunsch das Projektmanagement in bestimmten Phasen der Realisierung. Außerdem helfen wir mit firmeninternen Marketingmaßnahmen dabei, die nötige Awareness für das Security-Thema innerhalb des Unternehmens zu schaffen und die Akzeptanz und Mitarbeit aller Unternehmensbereiche am Aufbau und Betrieb der IT-Security-Maßnahmen zu fördern.

Welche Dienstleistungen bietet die Firma VICCON neben dem genannten Coaching an?

Gluschke: Etwa 30 Prozent unseres Umsatzes erwirtschaften wir mit den genannten Coaching-Maßnahmen. 50 Prozent unsere Zeit beschäftigen wir uns mit dem klassischen Beratungsgeschäft, Projektmanagement und Sicherheits-Audits. Die restlichen 20 Prozent füllen wir mit  Seminartätigkeiten. Themen sind unter anderem: Sicherheit im E-Business, Sicherheitsmanagement, Aufbau von Sicherheitszonen oder Verstehen von Hacking-Methoden.

Sie haben vor kurzem ein eigenes Sicherheits-Forum ins Leben gerufen. Was bezwecken Sie damit?

Gluschke: Ja, das ist richtig. Im Februar fand zum ersten Mal das VICCON Sicherheitsforum statt. Ziel des Forums war es, eine Plattform für den Erfahrungsaustausch zwischen IT-Sicherheits-verantwortlichen zu schaffen. Das erste Forum behandelte aktuelle Security-Themen, wie „Organisation und Strukturierung des Sicherheitsmanagements“ oder „Rechtssichere Geschäftsabwicklung“. Die Gründungsmitglieder dieses Zirkels waren u.a. Sicherheitsverantwortliche der Unternehmen Rhenus AG, Hornbach Baumärkte AG, Lufthansa Cargo AG, SAP AG, Karlsruher Lebensversicherung AG sowie des Haftpflichtverbands der Deutschen Industrie VaG. Das zweite VICCON Sicherheitsforum wird am 10. und 11. Mai 2001 unter dem Motto: „Security Awareness als Herausforderung des Sicherheitsmanagments“ stattfinden. Unser Ziel ist es, einen regelmäßigen Erfahrungsaustausch von Sicherheitsbeauftragten unterschiedlicher Unternehmen zu ermöglichen. Wir wollen bei jedem VICCON Sicherheitsforum vorher definierte Aufgabenstellungen diskutieren und anhand der vielfältigen Erfahrungen der Teilnehmer allgemeingültige Lösungen erarbeiten. Das VICCON Sicherheitsforum wird künftig aus zwei Veranstaltungsteilen bestehen. Am ersten Tag werden jeweils hochkarätige Referenten und Mitglieder des VICCON Sicherheitsforums ihre Erfahrungen und Empfehlungen in Form von Vorträgen präsentieren. Zu diesem ersten Veranstaltungstag sind alle Personen eingeladen, die sich für das Thema IT-Security interessieren. Am zweiten Veranstaltungstag treffen sich die Sicherheitsbeauftragten der verschiedenen Unternehmen im „Inner Circle“ zum Know-how- und Erfahrungsaustausch. In moderierten Workshops werden vordefinierte Themen besprochen und konkrete Strategien erarbeitet. Dieser zweite Veranstaltungstag ist reserviert für eine geschlossene Gruppe von hauptberuflichen Sicherheitsbeauftragten größerer Unternehmen, die aktiv an den Workshops teilnehmen und zur gewünschten Lösungsfindung beitragen können. Die Teilnahme am „Inner Circle“ des VICCON Sicherheitsforums ist auf Empfehlung eines Mitglieds möglich. Die Teilnehmerzahl ist jedoch begrenzt.

Vielen Dank für das aufschlussreiche Gespräch.

 

Autor

improve
marketing-training-consulting
Dipl. Inform. Klaus Eppele
Heinrich-Weitz-Str. 31
76228 Karlsruhe
Tel: 07 21 / 94 74 621
Fax: 07 21 / 94 74 622
eMail:
eppele@improve-mtc.de
URL:
http://www.improve-mtc

Erschienen in DATACOM 05/01, Seiten 24 - 25.