G 2.1 Fehlende oder unzureichende Regelungen
Die Bedeutung übergreifender organisatorischer Regelungen und Vorgaben für das Ziel IT-Sicherheit nimmt mit dem Umfang der Informationsverarbeitung, aber auch mit dem Schutzbedarf der zu verarbeitenden Informationen zu.
Von der Frage der Zuständigkeiten angefangen bis hin zur Verteilung von Kontrollaufgaben kann das Spektrum der Regelungen sehr umfangreich sein. Auswirkungen von fehlenden oder unzureichenden Regelungen werden beispielhaft in den Gefährdungen G 2.2 ff. beschrieben.
Vielfach werden nach Veränderungen technischer, organisatorischer oder personeller Art, die wesentlichen Einfluss auf die IT-Sicherheit haben, bestehende Regelungen nicht angepasst. Veraltete Regelungen können dem störungsfreien IT-Betrieb entgegen stehen. Probleme können auch dadurch entstehen, dass Regelungen unverständlich oder zusammenhanglos formuliert sind und dadurch missverstanden werden.
Dass Regelungsdefizite schadensfördernde Auswirkungen haben können, machen folgende Beispiele deutlich:
- Durch eine mangelhafte Betriebsmittelverwaltung kann der termingerechte Arbeitsablauf in einem Rechenzentrum schon durch eine unterbliebene Druckerpapierbestellung stark beeinträchtigt werden.
- Neben einer Beschaffung von Handfeuerlöschern muss auch deren Wartung geregelt sein, um sicherzustellen, dass diese im Brandfall auch funktionstüchtig sind.
- Bei einem Wasserschaden wird festgestellt, dass dieser auch den darunter liegenden Serverraum in Mitleidenschaft zieht. Durch eine unzureichende Schlüsselverwaltung kann der Wasserschaden im Serverraum allerdings nicht unmittelbar behoben werden, weil keiner informiert ist, wo sich der Schlüssel zum Serverraum gerade befindet. Dadurch steigt der Schaden erheblich.