Cyber-Sicherheit: Die Vielzahl von Meldungen über IT-technische Sicherheitsmängel und -lücken verunsichern das Management zunehmend!

Die hohe Anzahl der Meldungen, welche in so kurzen Abständen über die von Dritten entdeckten oder vom Hersteller selbst veröffentlichten Mängel an Hard- und Software berichten, ist frappierend. Einmal mehr wird es deutlich, dass es eine hundertprozentige IT-Sicherheit nicht geben kann.

Aus unterschiedlichen Gründen passiert es immer wieder, dass Hard- und Software mit sicherheitstechnischen Mängeln ausgeliefert und betrieben wird. Die einfachste Erklärung ist, dass die Komplexität zwischenzeitlich so hoch ist und die Innovationszyklen eine umfassende Qualitätssicherung scheinbar nicht zu lassen. Der Effekt ist, dass wir mit diesen Meldungen überhäuft werden und nur noch von „Sicherheits-Updates” hören.

Was bewirken aber diese Meldungen in den Köpfen der Verantwortlichen? Das Management denkt, dass es nicht zwingend in deren Verantwortung liegt. Es betrifft ja die schon organisierte IT. Sie hat schließlich die Kompetenz und berichtet von Zeit zu Zeit.

Die IT denkt, dass das erreichte Sicherheitsniveau dem IT-Budget angemessen ist. Oft genug hat man ja darauf hingewiesen, dass die Ressourcen komplett ausgenutzt sind. Mehr „geht halt nicht”. Da überspringt man schon mal das eine oder andere Update.

Dabei kann ein IT-Sicherheitsvorfall (Datendiebstahl, Produktionsstillstand, etc.) in mehrfacher Hinsicht erheblichen Schaden auslösen, bei welchem sich Betroffene, Geschädigte, Gesellschafter und das eigene Management fragen werden, wer dafür die Verantwortung trägt. Einen entsprechenden Entlastungsbeweis zu führen gestaltet sich dabei schwieriger, als dies auf Managementebene häufig vermutet wird. Denn für eine sogenannte „Exkulpation”, also eine Entlastung von Verantwortlichkeiten, ist die angegriffene Geschäftsführung Darlegungs- und Beweispflichtig. Diese Entlastung kann jedoch nur gelingen, wenn sich das Management auch mit allen wesentlichen Fragen in der IT befasst und die richtigen Präventionsmaßnahmen getroffen hat.

Und hier wird eines deutlich. IT ist nicht nur Sache der IT. Diese Technik gehört wie jeder andere Bereich eines Unternehmens ordnungsgemäß organisiert, gesteuert und überwacht.

Konkret heißt dies als konkrete Maßnahme zu der Vielzahl an IT-technischen Mängelmeldungen und Update-Hinweise, dass es Managementverantwortung ist, geregelte Prozesse über

Analyse und Bewertung der IT-Infrastruktur und Endgeräte,
Sicherstellung der Wartungs- und Updatemaßnahmen,
Sofortmaßnahmen bei einen Sicherheitsvorfall und
Berichterstattung über das Sicherheitsniveau

festzulegen und einzufordern.

Mitteilungen zu dem Thema „IT-Sicherheit und IT-Recht“

Sollten Sie auch künftig an – für Sie kostenlosen – Mitteilungen zu dem Thema „IT-Sicherheit und IT-Recht” interessiert sein, füllen Sie bitte das folgende Kontaktformular aus.

Pflichtfelder sind mit * gekennzeichnet.