Bundesamt für Sicherheit in der Informationstechnik

G 2.66 Unzureichendes Sicherheitsmanagement

Die Vielzahl der Methoden und Vorgehensweisen, wie Informationen in Geschäftsprozessen behandelt, verarbeitet und gespeichert werden, kann schnell dazu führen, dass der Schutzbedarf geschäftskritischer Informationen falsch eingeschätzt wird und diese daher unzureichend geschützt werden. Ein organisiertes Vorgehen bei der Planung, Durchführung und Kontrolle des Sicherheitsprozesses ist daher zwingend erforderlich. Die Erfahrung zeigt, dass es nicht genügt, lediglich die Umsetzung von Sicherheitsmaßnahmen anzuordnen, da die einzelnen Betroffenen, insbesondere die IT-Benutzer, dadurch häufig aufgrund fehlender Fachkenntnisse und unzureichender zeitlicher Ressourcen überfordert sind. In der Konsequenz wird es häufig unterlassen, überhaupt Sicherheitsmaßnahmen umzusetzen, so dass kein befriedigender Sicherheitszustand erreicht wird. Selbst wenn ein angemessenes Sicherheitsniveau einmal erreicht wurde, muss der Sicherheitsprozess ständig angepasst und verbessert werden, um ihn dauerhaft im laufenden Betrieb aufrechtzuerhalten.

Ein unzureichendes Sicherheitsmanagement ist häufig Symptom einer mangelhaften Gesamtorganisation des Sicherheitsprozesses. Beispiele für konkrete Gefährdungen, die aus einem unzureichenden Sicherheitsmanagement resultieren, sind:

  • Fehlende persönliche Verantwortung: Wird in einer Institution kein Sicherheitsmanagement-Team eingerichtet bzw. kein IT-Sicherheitsbeauftragter ernannt und die persönliche Verantwortung für die Umsetzung von Einzelmaßnahmen nicht eindeutig festgelegt, so ist es wahrscheinlich, dass viele Mitarbeiter ihre Verantwortung für die Informationssicherheit durch Verweis auf übergeordnete Hierarchie-Ebenen ablehnen. Als Folge werden Sicherheitsmaßnahmen nicht umgesetzt, da diese zunächst fast immer einen Mehraufwand im gewohnten Arbeitsablauf darstellen.
  • Mangelnde Unterstützung durch die Leitungsebene: IT-Sicherheitsbeauftragte entstammen in der Regel nicht der Ebene der Behörden- bzw. Unternehmensleitung. Werden die Sicherheitsverantwortlichen nicht uneingeschränkt durch die Leitungsebene unterstützt, kann es schwierig werden, die notwendigen Maßnahmen auch von Personen, die in der Linienstruktur über ihnen stehen, wirksam einzufordern. In diesem Fall ist der Sicherheitsprozess nicht vollständig durchführbar.
  • Unzureichende strategische und konzeptionelle Vorgaben: In vielen Institutionen wird zwar ein Sicherheitskonzept erstellt, dessen Inhalt dann aber häufig nur wenigen Insidern bekannt ist. Dies führt dazu, dass die Vorgaben an Stellen, an denen organisatorischer Aufwand zu betreiben wäre, bewusst oder unbewusst nicht eingehalten werden. Sofern das Sicherheitskonzept strategische Zielsetzungen enthält, werden diese vielfach als bloße Sammlung von Absichtserklärungen betrachtet und keine ausreichenden Ressourcen für deren Umsetzung zur Verfügung gestellt. Vielfach wird fälschlicherweise davon ausgegangen, dass in einer automatisierten Umgebung Sicherheit automatisch produziert werde. Schadensfälle in der eigenen oder in ähnlich strukturierten Institutionen sind bisweilen Auslöser für mehr oder minder heftigen Aktionismus, bei dem häufig bestenfalls Teilaspekte verbessert werden.
  • Unzureichende oder fehlgeleitete Investitionen: Die Leitungsebene einer Institution muss durch regelmäßige und mit klaren Priorisierungen versehene Sicherheitsberichte über den Sicherheitszustand der Geschäftsprozesse, IT-Systeme und Anwendungen und über vorhandene Mängel unterrichtet werden. Ohne ausreichende Informationen geht die Leitungsebene von falschen Voraussetzungen aus. Dann ist es wahrscheinlich, dass nicht genügend Ressourcen für den Sicherheitsprozess bereitgestellt oder diese nicht sachgerecht eingesetzt werden. In letzterem Fall kann es dazu kommen, dass einem übertrieben hohen Sicherheitsniveau in einem Teilbereich schwerwiegende Mängel in einem anderen gegenüberstehen. Häufig ist auch zu beobachten, dass teure technische Sicherungssysteme falsch eingesetzt werden und somit unwirksam sind oder sogar selbst zur Gefahrenquelle werden.
  • Unzureichende Durchsetzbarkeit von Sicherheitsmaßnahmen: Zur Erreichung eines durchgehenden und angemessenen Sicherheitsniveaus ist es erforderlich, dass unterschiedliche Zuständigkeitsbereiche innerhalb einer Institution miteinander kooperieren. Fehlende strategische Leitaussagen und unklare Zielsetzungen führen mitunter zu unterschiedlicher Interpretation der Bedeutung der Informationssicherheit. Dies kann zur Konsequenz haben, dass die notwendige Kooperation wegen vermeintlich fehlender Notwendigkeit oder ungenügender Priorisierung der Aufgabe "Informationssicherheit" letztlich unterbleibt und somit die Durchsetzbarkeit der Sicherheitsmaßnahmen nicht gegeben ist.
  • Fehlende Aktualisierung im Sicherheitsprozess: Neue Geschäftsprozesse, Anwendungen und IT-Systeme sowie neue Bedrohungen beeinflussen permanent den Sicherheitszustand innerhalb einer Institution. Fehlt ein effektives Revisionskonzept, das auch das Bewusstsein für die neuen Bedrohungen stärkt, verringert sich das Sicherheitsniveau und aus der realen Sicherheit wird schleichend eine gefährliche Scheinsicherheit.

Stand: 10. EL Stand 2008

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK