Technologie
Risikominimierung in der Unternehmens-IT
Die internationale Norm "ISO/IEC 27001:2005" spezifiziert die Anforderungen an ein betriebsinternes Informationssicherheitsmanagementsystem (ISMS) unter Berücksichtigung der vorherrschenden IT-Risiken. Unternehmen, die diese Anforderungen erfüllen und Sicherheitsrisiken entsprechende Schutzmechanismen gegenüberstellen, können ein international gültiges DIN/ISO-Zertifikat erwerben. Bislang gehen jedoch nur wenige Unternehmen diesen Weg.
„Ein so aufwendiges Verfahren wie die Zertifizierung nach ISO-27001-Norm braucht seine Zeit – hierin liegt einer der Hauptgründe, weshalb viele Unternehmen noch immer zögern, eine solche Zertifizierung anzustreben“, erklärt Dr. Martin Maurer, der seit 1995 als leitender Auditor für verschiedene Zertifizierungsgesellschaften, u.a dem TÜV Rheinland, tätig ist. Dabei sind sensible Kunden- oder Unternehmensdaten in nahezu jedem Betrieb vorhanden und sollten entsprechend geschützt werden. Das Zertifikat 27001 stellt durch ein genaues Prüfaudit sicher, dass die betriebsinternen Risiken im Umgang mit diesen Daten erkannt wurden und ihnen entsprechend begegnet wird. Etwa drei Tage müssen für solch ein Erstaudit eingeplant werden, in dem ein unabhängiger Auditor im zu zertifizierenden Unternehmen vor Ort ist und es gemäß den Normanforderungen prüft. Doch das eigentliche Prüfaudit bildet nur den Abschluss eines weitaus langwierigeren unternehmensinternen Vorbereitungsprozesses.
Unternehmenswerte schützen, Risiken minimieren
In einem ersten Schritt definiert die Unternehmensleitung den Anwendungsbereich, der auf seine Sicherheitsstrukturen hin untersucht werden soll. Beispielsweise kann es für größere Unternehmen sinnvoll sein, nicht nur den eigenen Standort, sondern auch die Außenstellen in den Implementierungsprozess mit einzubeziehen. Anschließend müssen die zu schützenden Unternehmenswerte (engl. Assets) erfasst werden. Um festzulegen, welche von ihnen besonders gesichert werden müssen, wird in einem nächsten Schritt das Risiko analysiert, dem die Unternehmens-IT ausgesetzt ist. Dabei geht es nicht nur um technische Risiken, sondern auch um das in diesem Zusammenhang oftmals vernachlässigte Verhalten der Mitarbeiter. Gehen sie verantwortungsbewusst mit Passwörtern um? Haben sie den richtigen Bildschirmschutz eingeschaltet und wurde festgelegt, wie sie zu reagieren haben, wenn sie im Unternehmen fremde Menschen antreffen?
| Weiter zu Seite 2 von 2 | Alles zeigen |
