Silodenken in der IT-Sicherheit erzeugt Schwächen und steigert die Kosten

  • Kein ganzheitlicher Umgang mit den zahlreichen Teilbereichen vom Risiko- bis zum Business Continuity Management.
  • Integrierter Ansatz könnte Aufwand für Projekte und Betrieb deutlich reduzieren und ein höheres Sicherheitslevel erzeugen.

Der ganzheitliche Umgang mit den verschiedenen Teilbereichen der IT-Sicherheit gehört gegenwärtig noch zur Ausnahme. Meist befinden sie sich nach einer Erhebung der CARMAO in verschiedenen Verantwortlichkeiten, auch die Implementierungs- und Optimierungsprojekte haben meist eine isolierte Ausrichtung [1].

grafik-carmao-it-security-verantwortung

In der Informationssicherheit hat sich angesichts der gestiegenen Anforderungen seit einiger Zeit eine zunehmende Spezialisierung in verschiedene Teildisziplinen entwickelt. Damit ist häufig auch eine Verteilung der Verantwortlichkeiten verbunden, wie die Ergebnisse der Studie zeigen. Sie befindet sich lediglich in zwei von fünf Unternehmen in einer Hand, was sich auch in der Ausrichtung der Projekte zeigt. Sie haben mehrheitlich überwiegend oder sogar grundsätzlich einen separaten Charakter, nur in jedem sechsten Fall sind die Maßnahmen konsequent integrativ ausgerichtet.

»Infolge der jeweils spezifischen Kompetenzanforderungen haben sich besonders in größeren Unternehmen separate Organisations- und Zuständigkeitsbereiche entwickelt«, sieht CARMAO-Geschäftsführer Ulrich Heun eigene Beratungserfahrungen durch die Befragungsergebnisse bestätigt. Mitunter würde sich die Informationssicherheit sogar auf der Geschäftsleitungsebene in verschiedener personeller Verantwortung befinden. Dadurch sei aber eine integrierte Steuerung der Teildisziplinen schwer möglich, betont Heun und erläutert: »Wir haben es mit recht komplexen Bedingungen zu tun, beispielsweise wenn gleichzeitig das IT-Risikomanagement, Compliance-Management und Business Continuity Management berührt sind und zusätzliche Beziehungsverhältnisse zu den Governance-Anforderungen oder dem Qualitätsmanagement bestehen.«

grafik-carmao-it-security-abgrenzung

Demzufolge sei es notwendig, einen integrativen Ansatz zu suchen, um die jeweiligen Schnittstellen und Überschneidungsbereiche im Betrieb der verschiedenen Teildisziplinen adäquat managen zu können. Doch entsprechende Verfahrensweisen fehlen in den Unternehmen vielfach, lediglich 13 Prozent haben grundsätzlich einen umfassenden Gesamtblick darauf, in mehr als jedem zweiten Fall besteht er nur marginal oder gar nicht.

Der Grund dafür ist vor allem, dass keine entsprechenden Konzepte für einen kontinuierlichen Gesamtblick bestehen und die befragten Verantwortlichen für die IT-Sicherheit intern ein geringes integratives Denken registrieren. Aber es besteht auch die Vermutung, dass damit auch ein höherer Personalbedarf entsteht und die Kosten steigen. Dem widerspricht Heun jedoch. »Es entstehen sogar schlankere Verhältnisse mit geringeren Kosten«, betont der Consultant. Schließlich müssten durch die Überschneidungsbereiche der Teildisziplinen teilweise gleiche Anforderungen hinsichtlich der Prozesse, Rollen, Dokumentationen usw. bewältigt werden.

»Die Folge ist ein Doppel- oder sogar Mehrfachaufwand, der bei einer ganzheitlichen Steuerung mit 360-Grad-Blick vermieden werden kann.« Zudem werde damit ein höheres Sicherheitslevel erreicht, weil bei einem separaten Management der IT-Sicherheit in den Schnittstellen der Teilbereiche mögliche Schwächen unentdeckt bleiben können.

[1] http://www.carmao.de/

Bestehen Verfahrensweisen, um die jeweiligen Schnittstellen und Überschneidungsbereiche im Betrieb der verschiedenen Teildisziplinen zu managen?

ja und umfassend 13 %
teilweise 29 %
nur in Ansätzen 42 %
nein 16 %

 

Sofern solche Verfahrensweisen nicht oder nur teilweise bestehen: Was sind die hauptsächlichen Gründe?

fehlendes Grundkonzept 63 %
intern geringes integratives Denken 57 %
zu personal-/kostenaufwändig 54 %
unzureichender Mehrwert 28 %
andere Gründe 17 %

(n = 303 Unternehmen; Quelle: CARMAO 2016)


Ineffiziente Sicherheitssilos bestimmen den IT-Alltag

Zehn Schritte zur Verbesserung der IT-Sicherheit

Cloud-Sicherheit durch organisatorisches Umdenken verbessern

Cyber-Sicherheit: Nutzer zunehmend verunsichert

Wer Cyber-Kriminellen zuvor kommt, steigert IT-Sicherheit um mehr als 50 Prozent

Neue Sicherheitsrisiken: Sechs Bereiche mit den größten Problemen

SAP-Sicherheit ist machbar

Die Hybrid Cloud perfekt absichern

Weitere Artikel zu

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.