G 2.66 Unzureichendes IT-Sicherheitsmanagement
Die Komplexität der heute vielerorts eingesetzten IT-Systeme und ihre zunehmende Vernetzung macht ein organisiertes Vorgehen bei der Planung, Durchführung und Kontrolle des IT-Sicherheitsprozesses zwingend erforderlich. Die Erfahrung zeigt, dass es nicht genügt, lediglich die Umsetzung von Maßnahmen anzuordnen, da die einzelnen Betroffenen, insbesondere die IT-Benutzer dadurch häufig aufgrund fehlender Fachkenntnisse und unzureichender zeitlicher Ressourcen überfordert sind. In der Konsequenz wird es häufig unterlassen, überhaupt Sicherheitsmaßnahmen umzusetzen, so dass kein befriedigender IT-Sicherheitszustand erreicht wird. Selbst wenn ein solcher einmal erreicht wurde, bedarf er der ständigen Pflege, um ihn dauerhaft im laufenden Betrieb aufrechtzuerhalten.
Ein unzureichendes IT-Sicherheitsmanagement ist häufig Symptom einer mangelhaften Gesamtorganisation des IT-Sicherheitsprozesses und damit des gesamten IT-Betriebs. Beispiele für konkrete Gefährdungen, die aus einem unzureichenden IT-Sicherheitsmanagement resultieren, sind:
- Fehlende persönliche Verantwortung: Wird in einer Organisation kein IT-Sicherheitsmanagement-Team eingerichtet bzw. kein IT-Sicherheitsbeauftragter ernannt und die persönliche Verantwortung für die Umsetzung von Einzelmaßnahmen nicht eindeutig festgelegt, so ist es wahrscheinlich, dass viele IT-Benutzer ihre Verantwortung für die IT-Sicherheit durch Verweis auf übergeordnete Hierarchieebenen ablehnen. Folglich unterbleibt die Umsetzung von Maßnahmen, die ja zunächst fast immer einen Mehraufwand im gewohnten Arbeitsablauf darstellt.
- Mangelnde Unterstützung durch die Leitungsebene: In der Regel gehören IT-Sicherheitsbeauftragte nicht der Behörden- bzw. Unternehmensleitung an. Unterbleibt seitens dieser eine unmissverständliche Unterstützung der IT-Sicherheitsverantwortlichen bei ihrer Arbeit, so werden sie es mitunter schwer haben, notwendige Maßnahmen auch von IT-Benutzern, die in der Linienstruktur über ihnen stehen, wirksam einzufordern. Eine vollständige Umsetzung des IT-Sicherheitsprozesses ist unter diesen Umständen nicht gewährleistet.
- Unzureichende strategische und konzeptionelle Vorgaben: In vielen Organisationen wird die Erstellung eines IT-Sicherheitskonzept in Auftrag gegeben, dessen Inhalt nur wenigen Insidern bekannt ist und dessen Vorgaben an Stellen, an denen organisatorischer Aufwand zu betreiben wäre, bewusst oder unbewusst nicht eingehalten werden. Sofern das IT-Sicherheitskonzept strategische Zielsetzungen enthält, werden diese vielfach als bloße Sammlung von Absichtserklärungen betrachtet, und es werden für deren Umsetzung keine genügenden Ressourcen zur Verfügung gestellt. Vielfach wird fälschlicherweise davon ausgegangen, dass in einer automatisierten Umgebung Sicherheit automatisch produziert werde. Schadensfälle in der eigenen oder in ähnlich strukturierten Organisationen sind bisweilen Auslöser für mehr oder minder heftigen Aktionismus, bei dem häufig bestenfalls Teilaspekte verbessert werden.
- Unzureichende oder fehlgeleitete Investitionen: Wird die Leitungsebene einer Organisation nicht durch regelmäßige und mit klaren Priorisierungen
- versehene IT-Sicherheitsreports über den Sicherheitszustand der IT-Systeme und Anwendungen und über vorhandene Mängel unterrichtet, ist es wahrscheinlich, dass nicht genügend Ressourcen für den IT-Sicherheitsprozess bereitgestellt oder diese nicht sachgerecht eingesetzt werden. In letzterem Fall kann es dazu kommen, dass einem übertrieben hohen Sicherheitsniveau in einem Teilbereich schwerwiegende Mängel in einem anderen gegenüberstehen. Häufig ist auch zu beobachten, dass teure technische Sicherungssysteme falsch eingesetzt werden und somit unwirksam sind oder gar selbst zur Gefahrenquelle werden.
- Unzureichende Durchsetzbarkeit von Maßnahmenkonzepten: Zur Erreichung eines durchgehenden IT-Sicherheitsniveaus ist es erforderlich, dass unterschiedliche Zuständigkeitsbereiche innerhalb einer Organisation miteinander kooperieren. Fehlende strategische Leitaussagen und unklare Zielsetzungen führen mitunter zu unterschiedlicher Interpretation der Bedeutung der IT-Sicherheit. Dies kann zur Konsequenz haben, dass die notwendige Kooperation wegen vermeintlich fehlender Notwendigkeit oder ungenügender Priorisierung der Aufgabe "IT-Sicherheit" letztlich unterbleibt und somit die Durchsetzbarkeit der IT-Sicherheitsmaßnahmen nicht gegeben ist.
- Fehlende Aktualisierung im IT-Sicherheitsprozess: Neue IT-Systeme oder neue Bedrohungen beeinflussen den IT-Sicherheitszustand innerhalb einer Organisation. Ohne effektives Revisionskonzept verringert sich das IT-Sicherheitsniveau. Aus realer Sicherheit wird somit schleichend eine gefährliche Scheinsicherheit, da das Bewusstsein für die neuen Bedrohungen häufig fehlt.