[datensicherheit.de, 09.08.2011] Die Bedrohung durch digitale Kriminalität steigt – das zeigen aktuelle Fälle von Hacker-Angriffen genauso wie die Statistiken des Bundeskriminalamtes (BKA).
Informationssicherheit in Unternehmen ist allerdings ein so breites Thema, dass einzelne Dienstleistungsunternehmen in der Regel nur Teilausschnitte bedienen können. Die IT-Sicherheitsexperten von 8com und dem Informatikzentrum der Sparkassenorganisation SIZ sowie der Versicherer AXA haben deshalb die Initiative „Lifecycle of Information Security” gegründet:
Ziel dieser Initiative sei es, insbesondere bei Unternehmen mit erhöhtem Bedarf an Informationssicherheit ein entsprechendes Bewusstsein zu schaffen. Zusätzlich müssten den Verantwortlichen passende Werkzeuge und Dienstleistungen zur Aufrechterhaltung eines angemessenen Schutzniveaus an die Hand gegeben werden. Um Informationssicherheit herzustellen, reiche es nicht aus, Einzelprojekte zu initiieren oder nur Teilbereiche zu behandeln. Informationssicherheit müsse ganzheitlich gesehen und in wiederkehrenden Zyklen gelebt werden – genau diesen Ansatz verfolge ihre Initiative, erläutert Dirk Kalinowski, Branchenverantwortlicher für IT bei AXA.
Maßnahmen zur Verbesserung der Informationssicherheit berühren typischerweise Problembereiche wie IT-Organisation, Technik, IT-Betrieb, IT-Compliance, Datenschutz, physische Sicherheit, Notfallvorsorge, Outsourcing und nicht zuletzt die Mitarbeiter. Aufgrund der unterschiedlichen Ausrichtungen der an der Initiative beteiligten Partner profitierten Unternehmen von einem übergreifenden Konzept, das sämtliche Aspekte des IT-Risikomanagements berücksichtigt – von der
Identifikation über die Risikominderung und -vermeidung bis zur Übertragung von Risiken an einen Versicherer oder zur bewussten Übernahme von Restrisiken. Während 8com dabei sein Know-how über das Erkennen und Schließen von Sicherheitslücken einbringt, ist das SIZ Experte für die Beratung und Bereitstellung von Lösungen zur
Informationssicherheit und deren Einführung. AXA bietet als einer der größten Firmenversicherer Deutschlands langjährige Erfahrung im Management und der Absicherung unternehmerischer Risiken, insbesondere auch IT-Risiken.
Grundlage des Konzepts „Lifecycle of Information Security“ sei eine einfache Methodik, wie sie auch in der internationalen Norm ISO 27001 beschrieben ist – der „PDCA-Zyklus“ mit den Phasen Plan (planen), Do (handeln), Check (kontrollieren) und Act (reagieren). Der Zyklus berücksichtigt Veränderungen des Unternehmens und Umfelds und beschreibt einen kontinuierlichen Verbesserungsprozess. Die erste Phase umfasse das Entwickeln von konkreten Zielen und Maßnahmen, um die gewünschten Verbesserungen in der Informationssicherheit zu erreichen. Die Umsetzung des Plans erfolge nach Möglichkeit risikoorientiert und zeitnah, um kritische Lücken zu schließen, so Götz Schartner von 8com. Beim Kontrollieren werden die in den vorherigen beiden Phasen gemachten Erfahrungen analysiert und mit den Erwartungen des Plans abgeglichen.
Auf Basis dieser Erkenntnisse werden notwendige Modifikationen vorgenommen. Durch das enge Zusammenspiel der Partner könnten sie Unternehmen in allen Fragen der Informationssicherheit begleiten, im gesamten „Lifecycle“, so Dr. Keye Moser, Fachgruppenleiter beim SIZ Informatikzentrum der Sparkassenorganisation.

Abbildung: SecuMedia Verlags GmbH, Gau-Algesheim

Initiative „Lifecycle of Information Security“ auf der it-sa 2011 am Stand 456

Die Initiative „Lifecycle of Information Security“ ist auf der diesjährigen IT-Sicherheitsmesse it-sa in Nürnberg vom 11. bis 13. Oktober 2011 mit einem Gemeinschaftsstand vertreten. Experten von AXA, SIZ und 8com informieren über die Initiative am Stand 456.

Weitere Informationen zum Thema:

… MIT SICHERHEIT …
Der Lifecycle of Information Security

[datensicherheit.de, 11.11.2010] Der Verantwortungsbereich eines IT-Dienstleisters ist komplex – von der Software-Programmierung bis hin zur Konfiguration kompletter IT-Systeme. Ebenso vielfältig sind die Gefahren, denen ein IT-Unternehmer ausgesetzt ist:
In die komplexe Technik schleichen sich schnell folgenschwere Fehler ein, die zu Systemausfällen und existenzbedrohenden finanziellen Schäden für den Auftraggeber führen können. Klagt der geschädigte Kunde dann auf Schadenersatz, kommen auf den IT-Unternehmer hohe finanzielle Belastungen zu. Auch versehentliche Verstöße gegen Urheber- oder Datenschutzrechte können den Dienstleister teuer zu stehen kommen. Viele Unternehmer sind sich dieser Risiken nicht bewusst und verfügen über keinen oder nur unzureichenden Versicherungsschutz.
Ein Risikofaktor, den IT-Unternehmer oft übersehen, sind z.B. fehlende oder fehlerhafte Sicherheitskopien von Kundendaten – zwar fertigen viele IT-Dienstleister Sicherheitskopien an, testen aber nicht, ob sich das hergestellte Back-up auch korrekt zurückspielen lässt. Sind diese Kopien aber unbrauchbar und die Daten unwiderruflich verloren, kann den Unternehmer der entstandene Schaden teuer zu stehen kommen – besonders wenn der Kunde auf Schadenersatz auch für Folgeschäden klagt.
Keine Software ist vollkommen fehlerfrei. Bereits kleinste Berechnungsfehler können bei der Entwicklung und Programmierung von komplexer Software zu fehlerhaften Versandabwicklungen, falschen Buchungen oder im schlimmsten Fall zum Betriebsstillstand beim Kunden führen. Besonders bei Programmen, die mit dem Zahlungsverkehr zu tun haben, können solche Fehler zu erheblichen Vermögensschäden führen – besonders, wenn Fehlprogrammierungen lange unentdeckt bleiben. Stellt der Kunde dann Schadenersatzansprüche, kommen auf den IT-Dienstleister gegebenenfalls hohe Kosten zu.
Rechtsverletzungen im Urheber-, Patent- und Schutzrechtebereich sind in der IT-Branche eine oft unterschätzte Gefahr: Ob Fotos, Graphiken, Textpassagen, Kartenmaterial oder Musik – bei jeder Art von Informationsmaterial, das der IT-Dienstleister in Programme oder Websites integriert, sollte er sicher sein, dass er keine Urheberrechte verletzt. Denn falls der geistige Eigentümer im Nachhinein auf Schadenersatz klagt, kommen auf den IT-Unternehmer finanzielle Belastungen zu. Auch die Verletzung von Persönlichkeits- und Namensrechten, zum Beispiel bei der Erstellung und Gestaltung von Websites, stellt eine Gefahr für den IT-Unternehmer dar, die ihn im Schadenfall teuer zu stehen kommt.
Nur wenige IT-Unternehmen verfügen über eine umfassende Sicherheitsstrategie, die auf alle relevanten Bereiche des Unternehmens abgestimmt ist. Zwar führten einige Unternehmer einzelne Sicherheitsmaßnahmen ein, vernachlässigten aber dauerhafte Prozesse zur Beibehaltung der Sicherheit und Kontrollinstanzen, so Dirk Kalinowski, bei AXA Branchenverantwortlicher für IT- und Software-Unternehmen. Hinzu komme, dass der Verantwortliche Sicherheitsvorgaben häufig nicht oder nur unzureichend dokumentiere. Die Sensibilisierung der Angestellten, umfassende Briefings und nicht zuletzt professionelle Mitarbeitermotivation und -betreuung seien dabei enorm wichtig. Jeder Unternehmer sollte seine Mitarbeiter daher immer wieder auf die große Verantwortung in ihrer Tätigkeit aufmerksam machen und über mögliche Risiken informieren.
Zugleich ist passender Versicherungsschutz wichtig, um existenzbedrohende Risiken abzusichern – ob großer, internationaler IT-Dienstleister oder Nebenberufler. Da ein Unternehmer für Schäden haftet, die er oder seine Mitarbeiter im Rahmen der beruflichen Tätigkeit Dritten zufügen, ist eine der wichtigsten Versicherungen die Haftpflichtversicherung. Spezielle IT-Haftpflichtversicherungen decken Personen- und Sachschäden ab, aber auch Vermögensschäden, die zum Beispiel aus Datenverlust, Fehlern bei der Installation von Software oder der Beratung des Kunden entstehen können. Neben menschlichem Versagen stellen auch Schäden, die durch externe Einflüsse entstanden sind, eine Gefahr für den Betrieb dar – etwa Schäden durch Leitungswasser, Feuer oder auch Überspannungen und Kurzschlüsse. Neben einer Sach- und Elektronikversicherung raten Experten daher auch zu einer Betriebsunterbrechungsversicherung. Sie kommt im Falle einer vorübergehenden Unterbrechung des Betriebes durch einen Sachschaden für entgangene Gewinne auf. So kann der Unternehmer seinen Zahlungsverpflichtungen – zum Beispiel für Miete und Gehälter von Angestellten – weiter nachkommen und den Betrieb schnell wieder aufnehmen. Bei der Auswahl des individuellen Versicherungsschutzes sollten IT-Unternehmer darauf achten, dass der Versicherer Kompetenzen für die IT-Branche aufweist.