Schluss mit den Ausreden – Security Policies gehen jeden etwas an

Beispielsweise hat eine kürzlich erstellte Studie von Steria Mummert Consulting ergeben, dass erst 19,4 Prozent aller deutschen Unternehmen bereits Vorkehrungen zum Schutz mobiler Sicherheit getroffen haben. Und das bei einer Situation, in der die Hälfte der Mitarbeiter in den befragten Firmen regelmäßig mobile Geräte wie Laptops, PDAs oder Handys geschäftlich nutzt.

Eine Richtlinie, eine so genannte Security Policy, wird also nicht einmal für diesen Bereich angewendet, über dessen Stolpersteine die Entscheider eigentlich bestens informiert sein sollten. Mehr noch, mit mehr als 18 Prozent gaben fast ebenso viele Entscheider offen zu, dass sie derzeit für mobiles Arbeiten inner- und außerhalb des Unternehmens keine Security Policy haben. Abgefragt wurde dies noch einmal gesondert, weil in Unternehmen mehrere Policies nebeneinander existieren können, die die verschiedenen Arbeitsbereiche gesondert betrachten, etwa eine für Sachbearbeiter, eine für den Außendienst und eine weitere für die Konfiguration der Firewall.

Es herrscht Einigkeit bei den Experten in Deutschland, dass dieser Zustand nicht haltbar ist. Bei Schulungsanbietern, Anwenderunternehmen, Security-Verantwortlichen und Arbeitsrechtlern wird aber auch das “Wie” betrachtet: Die einzelnen Security Policies oder auch die Sammlung abteilungsübergreifender Richtlinien sollte zwischen den Anwender- und Sicherheitsinteressen sinnvoll ausgewogen sein. Sie sollten den Mitarbeitern in Schulungen kompetent vermittelt und kontinuierlich an neue Entwicklungen angepasst werden. Soweit die Theorie. Aber braucht wirklich jeder ein neues Paket an Vorschriften? Die, die bereits damit umgehen, haben offenbar gute Erfahrungen damit gemacht.

Gründlichkeit bei Siemens

Da ist zum Beispiel Rolf Paprotka, Senior Manager Corporate Information Security von Siemens, der im Konzern auf eine echte Tradition der Security Policies verweisen kann: “Es gibt bei Siemens bereits seit 1991 Regelungen zur Informationssicherheit (Security Policies), die fortlaufend aktualisiert werden. Sie umfassen das Spektrum, das inzwischen durch den internationalen Standard ISO/IEC 17799 definiert ist. In IT-relevanten Bereichen mit hohem Risiko wie beispielsweise Geschäftspartneranschlüsse, Netzwerke, Internet- und Fernzugang gibt es Policies, die möglichst bis hin zu erforderlichen Sicherheitseinstellungen auf den Systemen reichen.”

Dabei bestehe allerdings immer wieder Anpassungsbedarf aufgrund technischer, organisatorischer oder auch räumlicher Veränderungen sowie aufgrund neuer, bislang unbekannter Risiken und Bedrohungen. “Übergeordnete Policies werden bei Bedarf aktualisiert, beziehungsweise mindestens jährlich überprüft und aktualisiert”, sagt Paprotka. Bei technisch orientierten Policies erfolgt das quartalsweise. Dabei funktioniere das Kontrollsystem gemäß Sarbanes-Oxley Act, das heißt, es überprüft auch die Aktualität der Policies.

Doch die schönste Policy hilft nichts, wenn sie nur in der Schublade liegt, weiß Paprotka. Daher hat der Konzern aufgrund seiner Security-Erfahrung bereits ein eigenes Team aufgesetzt, das hierarchisch und abteilungsübergreifend in Spezialgebieten organisiert ist und durch Technik ergänzt wird. “Bei Siemens besteht eine InfoSec-Organisation in den Unternehmenseinheiten weltweit, die vor Ort die Zielerreichung zur Informationssicherheit unterstützt”, erklärt er.

Lernen aus dem Information Overkill

Die Verantwortlichkeiten zur Informationssicherheit seien definiert und in den Organisationsplänen ausgewiesen. Darüber erfolgten regelmäßige Berichterstattungen über den erreichten Stand. Technische Maßnahmen würden in den Service-Leveln mit den Service-Providern vereinbart. Die Reißleinen sind dabei vielfältig: “Kontrollen erfolgen sowohl durch das Service-Management, die InfoSec-Organisation, als auch durch einen technischen Kontrollservice, der permanent weltweit alle IT-Systeme bei Siemens auf Verwundbarkeiten überprüft. Mit ergänzenden Prozessen werden erkannte Verwundbarkeiten umgehend behoben.” Und auf die Frage, wie dies alles dauerhaft in den Köpfen der Mitarbeiter bleibt, sagt Rolf Paprotka: “Zur Verbesserung der Akzeptanz erfolgen Maßnahmen zur Bewusstseinsbildung bei Führungskräften und Mitarbeitern.”

Bei dem amerikanischen Konzern CA, der eine große Niederlassung in Deutschland hat und auch Software für Sicherheitsfragen herstellt, sieht das ähnlich aus. William M. Taub, Vice President Enterprise Security bei CA in Islandia, New York, beschreibt, dass der Konzern innerhalb der verschiedenen Bereiche bei CA ein breites Spektrum an Security Policies im Einsatz hat. “Diese Bereiche haben wir durch Risk Modeling identifiziert; der Einsatz so genannter Heat-Maps legt fest, wo wir Policies benötigen”, sagt er. Cobit-Lösungen und andere vergleichbare Risk Frameworks finden hier Verwendung. Sensible Bereiche sind bei CA intern, beispielsweise die Verwendung von Wireless-Technologie oder die Verwendung von Equipment, das nicht CA gehört, das Ermitteln und Gewähren von Zugangsberechtigungen sowie Antivirus- und systemsicherstellende Policies.

Page: 1 2 3

Silicon-Redaktion

Recent Posts

Studie: Rund ein Drittel der APIs sind ungeschützt

Angriffe auf APIs und Webanwendungen sind zwischen Januar 2023 und Juni 2024 von knapp 14…

2 Tagen ago

Universitätsmedizin Essen setzt für E-Mail-Sicherheit auf NoSpamProxy

Mit täglich über 45.000 eingehenden E-Mails ist die IT-Abteilung des Klinikums durch Anhänge und raffinierte…

2 Tagen ago

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

4 Tagen ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

5 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

6 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

6 Tagen ago