Fallbeispiel 2*:
Wenn die Position des Informationssicherheitsverantwortlichen unbesetzt bleibt, hat das Thema keine Heimat. Es wird punktuelle technische Sicherheitsmaßnahmen geben. Das Bewusstsein für Informationssicherheit wird auf Vorstandsebene aber gering bleiben, und „Bottom-up-Ansätze“ zur Etablierung eines ISMS, sofern sich dafür überhaupt jemand findet, werden auf sehr steinigem Terrain stattfinden.
Dazu folgendes Fallbeispiel: in einer Organisation wirken einzelne IT-Mitarbeiter seit längerer Zeit darauf hin, ein ISMS zu etablieren. Externe Auditoren haben mehrfach vor dem Vorstand den Status der Informationssicherheit präsentiert und auf teils erhebliche Risiken hingewiesen. Der Vorstand zeigt sich grundsätzlich interessiert, sieht das Thema aber im Wesentlichen als interne Angelegenheit der IT-Abteilung. Die IT-Leitung möchte ihren Budgettopf aber nicht mit Vorhaben belasten, die nicht zum „Kerngeschäft“ der Abteilung gehören.
In diesem Fallbeispiel scheitert der Aufbau eines ISMS daran, dass sich dafür kein Sponsor findet. Die Motivation der erwähnten IT-Mitarbeiter reicht nicht aus, sie versickert langfristig in der Budgetwüste. Die Katze beißt sich in den Schwanz. Hier müsste sich der IT-Leiter aktiv für eine sinnvolle Schaffung und Besetzung der Rolle eines CISOs einsetzen. Ein erster Schritt wäre es, ein pragmatisches ISMS-Pilotprojekt anzustoßen. Ob sich der IT-Leiter diesen Hut wohl aufsetzen möchte? Das wird stark von seiner persönlichen Bedürfnislage abhängen. Schließlich hängt die ultimative Verantwortung für Informationssicherheit immer noch beim Vorstand.
*Fiktives, aber realitätsnahes Fallbeispiel
