Bundesamt für Sicherheit in der Informationstechnik

G 2.107 Unwirtschaftlicher Umgang mit Ressourcen durch unzureichendes Sicherheitsmanagement

Informationssicherheit ist eine Voraussetzung dafür, dass alle Geschäftsprozesse und Abläufe in einer Institution einwandfrei funktionieren. Gleichzeitig ist aber aufgrund der Vielfältigkeit dieses Themas eine absolute Informationssicherheit praktisch nicht erreichbar. Aus diesem Grund ist es essenziell, beim Sicherheitsmanagement die richtigen Prioritäten zu setzen und an denjenigen Stellen zu investieren, die den größten Mehrwert für die Institution bringen. Dies ist eine Entscheidung, die nur mit Hilfe eines institutionsübergreifenden Sicherheitsmanagements getroffen werden kann.

Mit Hilfe des Sicherheitsmanagements werden die tatsächlichen Sicherheitsanforderungen der Institution festgelegt und die Risiken bei ihrer Nichteinhaltung betrachtet. Auf dieser Basis muss entschieden werden, ob

  • Ressourcen in Schutzmaßnahmen investiert werden,
  • durch Umstrukturierung oder Verlagerung von Aufgaben sich der Aufwand für den Schutz auf ein vertretbares Maß reduziert,
  • Risiken akzeptiert werden.

Diese Überlegungen sind für das Vorgehen in Bezug auf Informationssicherheit grundlegend und müssen in entsprechenden Dokumentationen festgehalten werden. Fehlendes oder unzureichendes Sicherheitsmanagement kann dementsprechend zu folgenden Fehlern führen:

  • Oft wird in teure Sicherheitslösungen investiert, ohne dass eine Basis an notwendigen organisatorischen Regelungen vorhanden ist. Nicht geklärte Zuständigkeiten und Verantwortlichkeiten können trotz teurer Investitionen zu schweren Sicherheitsvorfällen führen.
    Vorfall aus der Praxis: In einem Unternehmen wurde eine teure Firewall beschafft, jedoch die Administratoren nur unzureichend geschult und Verantwortlichkeiten nicht klar zugewiesen. Aufgrund dessen wurde die Firewall nicht sicher und für die Sicherheitsbedürfnisse des Unternehmens angemessen konfiguriert. Es kam zu Sicherheitsvorfällen, da immer wieder Dienste durch unterschiedliche Administratoren freigeschaltet wurden und bestimmte Funktionalitäten weitgehend ungenutzt blieben.
  • Häufig wird in den Bereichen einer Institution in Informationssicherheit investiert, die entsprechende Mittel zur Verfügung haben und deren Verantwortliche für Informationssicherheit besonders sensibilisiert sind. Andere Bereiche, die vielleicht für die Erfüllung der Fachaufgaben und der Erreichung der Geschäftsziele wichtiger sind, werden aufgrund von knappen Mitteln oder Desinteresse der Verantwortlichen vernachlässigt.
    Vorfall aus der Praxis: Um die Verfügbarkeit der Anwendung "Buchhaltung" zu erhöhen, wurde ein teures Cluster-System angeschafft. Die für den Kundendienst notwendigen Anwendungen laufen dagegen aufgrund von knappen finanziellen Mitteln in dem Bereich immer noch auf einem alten Server, der jederzeit ausfallen könnte. Die Verfügbarkeit der Kundendienst-Anwendung ist für das Unternehmen sehr wichtig, aufgrund von fehlender Prioritätensetzung bei der Mittelvergabe jedoch nicht berücksichtigt worden.
  • Bei Investitionen in einzelnen Teilbereichen ist es erforderlich, das gesamte Sicherheitskonzept zu betrachten.
    Vorfall aus der Praxis: Eine Abteilung wird mit einer neuen Sicherheitslösung ausgerüstet. Die Stromversorgung bleibt jedoch weiterhin mit einer alten und lange nicht getesteten USV sehr schlecht gesichert. Im Gesamtsystem verbleiben dadurch weiterhin erhebliche Sicherheitslücken.
  • Durch die einseitige Erhöhung des Schutzes einzelner Grundwerte kann sich der Gesamtschutz verringern.
    Vorfall aus der Praxis: Durch den Einsatz einer hochwertigen Verschlüsselungsroutine bei der Rechnungserstellung wird die Geschwindigkeit der Arbeitsabläufe stark beeinträchtigt. Bei der Auswahl wurde nicht berücksichtigt, dass die Verfügbarkeit der Systeme mindestens genauso wichtig wie ihre Vertraulichkeit ist.
  • Ein inhomogener und unkoordinierter Einsatz von IT -Produkten kann zu hohem finanziellen und personellen Ressourceneinsatz führen.
    Vorfall aus der Praxis: In einem großen Unternehmen beschäftigten sich mehrere Bereiche unabhängig voneinander mit Informationssicherheit. Es stellte sich heraus, dass zwei Bereiche unabhängig voneinander jeweils Firmenlizenzen eines Viren-Suchprogramms eingekauft hatten. Zusätzlich fanden sich im gesamten Unternehmen verschiedene Verschlüsselungsprodukte für den selben Einsatzzweck. Dies führte zu Problemen bei der Administration und zu einer erhöhten Fehleranfälligkeit.

Stand: 10. EL Stand 2008