Читать книгу INFORMATIONSSICHERHEIT kompakt, effizient und unter Kontrolle - Jens Libmann - Страница 12
4.1.1.3.Gründe für InfSec
ОглавлениеIch habe Unternehmensleiter bereits sagen gehört: „Klingt ja alles schön und gut, aber wieso soll ich dafür Geld ausgeben?“ Nun, es gibt eine Reihe von Gründen, wieso InfSec in jedem Unternehmen ein wichtiges Thema ist:
1 Gesetzliche Bestimmungen: Diverse Rechtsvorschriften schreiben dezidiert Sicherheitsaktivitäten vor. In erster Linie ist hier das Datenschutzgesetz zu nennen, das nahezu in jedem europäischen Land existiert. Aber auch andere Bestimmungen, die je nach Nation unterschiedlich sein können, wie Urheberrecht, Aktienrecht usw., verlangen nach einer funktionierenden InfSec-Struktur. Speziell zu erwähnen wären hier allgemein gültige Regelungen für internationalen Datenverkehr.
1 Geschäftsverantwortung: Der CEO trägt Verantwortung gegenüber dem Konzern, den Aktionären, der Holding und sonstigen Auftraggeber, die ihm deren Vertrauen zur Wahrung ihrer Interessen übertragen haben. Natürlich besteht auch gegenüber eigenen Mitarbeitern die moralische Verpflichtung, deren Arbeitsplätze zu erhalten und den täglichen Geschäftsbetrieb bestmöglich zielgerecht zu führen. Dazu zählt auch die Aufgabe, für ausreichenden Schutz aller Werte zu sorgen.
1 Vertragliche Bestimmungen: Bei Outsourcing, Konsolidierung, strategischen Allianzen und internationaler Vernetzung ist die Frage nach Verantwortlichkeit bei Schadensereignissen zunehmend ein wichtiges Thema. Vielfach werden Geschäftsbeziehungen per Service Level Agreement (SLA) geregelt. Sicherheit wird darin als Ware gesehen. Sie ist Teil der Vereinbarungen, welche die Qualität der zu erbringenden Leistung beschreiben. Darin ausgehandelte Leistungen sind zu garantieren, ansonsten drohen mitunter saftige Pönalezahlungen.
1 Erwartungen der Geschäftsteilnehmer: Bei Kunden und Lieferanten findet bereits eine zunehmende Sensibilisierung hinsichtlich der Sicherheit ihrer Daten und des Schutzes ihrer Privatsphäre statt. Die Menschen fragen danach, wie mit ihren Daten umgegangen wird. Man will wissen, was mit ihnen passiert, wo sie gespeichert sind, wer Zugang hat und welche Missbrauchsrisiken bestehen. Schließlich wollen alle Betroffenen, dass ihre Rechte gesichert bleiben.
1 Druck der Medien: Berichterstatter fokussieren sich zunehmend auf Zwischenfälle im InfSec-Bereich. Selbst kleine Vorfälle werden medial ausgeschlachtet und machen in Windeseile die Runde in diversen Sozialen Netzwerken. Der Image-Schaden, der dadurch entstehen kann, ist fallweise enorm.
1 Politischer Druck: Politische Entscheidungsträger sehen den Schutz der nationalen Infrastruktur spätestens nach dem 11. September 2001 zweifellos als vorrangige Aufgabe. Ein Beispiel: Regierungsstellen mehrerer Länder haben bereits führende IKT-Unternehmen aufgefordert, die Sicherheit ihrer Produkte „dramatisch“ zu erhöhen.
1 Technologien: Die Entwicklung neuer Technologien im IKT- und Kommunikationsbereich wird begleitet von einem ebenso schnellen Wachstum der Bedrohungspotenziale45. Betroffene Infrastrukturen sind aber Basis jeder Geschäftstätigkeit. Adäquate InfSec dient dazu, deren Funktionalität permanent aufrecht zu erhalten.
1 Produktivität: Ordnungsgemäß etablierte InfSec sorgt für reibungslosen Betriebsablauf und dient damit einer Steigerung der Mitarbeiterproduktivität.
1 Haftung: Je nach Gesellschaftsform haftet der verantwortliche Leiter bei Verstößen gegen bestimmte Rechtsbestimmungen mit seinem Privatvermögen. Letztendlich trägt er alle Konsequenzen der Sicherheitspolitik.
1 Dazu ein Beispiel: Ein Hacker dringt in die Systeme der Firma A ein und benützt diese, um Firma B mit einem Angriff lahm zu legen. Firma B sieht als Verursacher des Schadens natürlich das Unternehmen, von dem die Attacke ausgegangen ist. Sie wird versuchen, sich an Firma A schadlos zu halten. Besonders leicht gelingt das, wenn diese nicht nachweisen kann, ausreichende Vorkehrungen gegen den stattgefundenen Missbrauch getroffen zu haben.