Wohin mit dem IT-Sicherheitsmanagement

Spätestens seit Mitte der Neunziger Jahre und dem Siegeszug des Internet weiß jedes Unternehmen: Man muss sich um die IT-Sicherheit kümmern. Um IT-spezifische Risiken zu minimieren, mussten zunächst technische Sicherheitssysteme wie Firewalls oder Virenscanner implementiert und betrieben werden. Aus diesem Grund war der Bereich, der sich um das Management der IT-Sicherheit kümmern sollte, schnell gefunden: Die IT-Abteilung und dort direkt die IT-Planung und der IT-Betrieb…

Mit der Zeit wurde die Aufgabe des IT-Sicherheitsmanagements immer komplexer. Mehr und mehr stellte man fest, dass für diese Aufgabe nicht nur IT-relevantes technisches Know-how notwendig ist, sondern vor allem Kompetenzen wie methodisches Wissen, Koordinationsvermögen oder analytische Fähigkeiten. Die Zuordnung des IT-Sicherheitsmanagements zum IT-Lebenszyklusmanagement entsprach immer weniger den Erfordernissen dieser Managementfunktion.

Viele Unternehmen lösten deshalb das IT-Sicherheitsmanagement aus dem IT-Betrieb und schufen dafür eine eigene Verantwortlichkeit im Unternehmen. Verantwortliche wie IT-Sicherheitsbeauftragte, Information Security Manager oder Chief Security Officer (CSO) wurden installiert. Doch wo sollte man diese Verantwortlichkeit ansiedeln? Einige Unternehmen bildeten hierfür eigene Stabstellen, die direkt an die Unternehmensleitung berichteten, viele sahen das IT-Sicherheitsmanagement jedoch als eine weitere Funktion unterhalb der IT-Leitung, also in der Linie. Der Grund für die Zuordnung zur IT war nicht selten das Interesse der IT-Manager, die IT-Sicherheit unter ihrer Kontrolle zu halten.

Die der IT-Leitung unterstellten Sicherheitsverantwortlichen haben es nicht leicht. Sie verfügen oft über kein eigenes Budget, sondern konkurrieren mit anderen IT-Aufgaben um das IT-Budget. Sie sind disziplinarisch der IT-Leitung unterstellt und werden von den Interessen der IT-Leitung beeinflusst. So sind beispielsweise viele IT-Leiter bemüht, IT-Schwachstellen, die bei einem fähigen IT-Management erst gar nicht auftreten würden, unter der Decke zu halten.

Mit wachsender Bedeutung von Gesetzen und Richtlinien wie KonTraG oder SOX kristallisierten sich zwei neue Unternehmensfunktionen heraus: Corporate Governance und Corporate Compliance. Bricht man diese unternehmensweiten Funktionen auf das Objekt IT herunter, ergeben sich entsprechend die Funktionen IT-Governance und IT-Compliance. Es ist der Trend zu beobachten, dass viele Unternehmen das IT-Sicherheitsmanagement der IT-Governance zuordnen und so das Problem zumindest zu entzerren versuchen.

Doch es bleibt die grundsätzliche Frage, ob das Objekt (die IT) oder die Funktion (das Sicherheitsmanagement) im Vordergrund stehen sollte, wenn es um die organisatorische Einordnung des IT-Sicherheitsmanagements geht. Man kann die unternehmensweiten Funktionen Corporate Governance und Corporate Security nämlich auch nach der Funktion herunter brechen und erhält dann eine Funktion “Security Governance”.

In dieser Funktion wird die Unternehmenssicherheit als Ganzes analysiert und gesteuert. Es ist damit ein leichtes, KonTraG-konform zu arbeiten und die Risiko- beziehungsweise Sicherheitslage des Unternehmens zu ermitteln. Die IT-Sicherheit wird zu einem Teilbereich der Unternehmenssicherheit, also zu einer “Unternehmenssicherheit angewendet auf die IT” und nabelt sich damit nicht nur von der IT-Linie ab, sondern gewinnt auch eine ganz andere Bedeutung im Unternehmen.

Zudem ist diese Einordnung schlüssiger. Als Kommune käme man auch nicht auf die Idee, eine Feuerwehr nur für Brände, eine zweite Feuerwehr nur für Überschwemmungen und eine dritte Feuerwehr nur für technische Hilfeleistung einzurichten. Es gibt eine Feuerwehr (Funktion), die dann auf verschiedene Objekte (Brand, Überschwemmung, usw.) angewendet wird.

Leider laufen selbst die Meinungsmacher in der Wirtschaft dem bestehenden Trend zur Einordnung in die IT-Governance hinterher. Es bleibt zu hoffen, dass sich dies ändert und man vor allem die Vorteile und Möglichkeiten einer anderen organisatorischen Einordnung erkennt, anstatt dem Einfluss des immer mächtiger werdenden IT-Bereichs nachzugeben

27.07.2010
Alexander Tsolkas