Sie sind hier: Home » Markt » Interviews

Interview mit Dr. Christian Reiser, Consultant


"Ein seriöses Return on Security Investment kann es derzeit nicht geben" - "Internes Marketing für Informationssicherheit ist nicht nur sinnvoll, es ist unumgänglich"
"Die IT ist nicht einmal in der Lage, gute IT-Sicherheit umzusetzen, wenn nicht das gesamte Unternehmen seinen Beitrag dazu leistet"


Dr. Christian Reiser:
Dr. Christian Reiser: Informationssicherheit ist Chefsache

(22.05.07) - "Es wird schon nichts passieren", heißt es in vielen Unternehmen, wenn es um Budgets für Informationssicherheit geht. Security-Profi Dr. Christian Reiser* wurde anlässlich des "CONEX Forums Compliance & IT-Governance" am 25. April dieses Jahres von Michael Ghezzo interviewt. Reisers Tenor: Grundsätzlich ist der IT-Sicherheitsverantwortliche die falsche Person, um Informationssicherheit zu promoten. Der IT-Sicherheitsverantwortliche ist - wie der Name schon sagt - für die IT-Sicherheit zuständig. Das ist aber nur ein Teil der Informationssicherheit. Genau darin liegt aber auch zugleich das schlagkräftigste Argument des IT-Sicherheitsverantwortlichen für Informationssicherheit. Die IT ist nicht einmal in der Lage, gute IT-Sicherheit umzusetzen, wenn nicht das gesamte Unternehmen seinen Beitrag dazu leistet.

Michael Ghezzo: Bei Informationssicherheit leben viele Unternehmen nach dem Motto: Wir sind ja keine Bank oder Gesundheitseinrichtung, wir brauchen keine (so starke) Informationssicherheit. Wie sollten derartige Unternehmen mit diesem Thema umgehen?

Dr. Christian Reiser:
Zahlenmäßig gesehen sind die wenigsten Unternehmen Banken oder im Gesundheitsbereich, aber es kann kein gewinnbringendes Unternehmen geben, das keine schützenswerten Informationen hat. Bei Informationssicherheit geht es immer darum, das benötigte Sicherheitsniveau für das Unternehmen, den Geschäftsprozess oder eine Aufgabe zu erreichen, und das mit vertretbaren Kosten und vertretbaren Unannehmlichkeiten für die Betroffenen. Das gilt hier genauso wie es für jede andere Sicherheitsmaßnahme gelten sollte.

Interessanterweise gibt es Bereiche, wo es absolut nicht notwendig ist, die Sinnhaftigkeit, die Wirksamkeit, die Kosten und die Unbequemlichkeit für die Betroffenen zu begründen und abzuwägen.
Die Sicherheitseinrichtungen für Passagiere am Flughafen Wien kosten der Wirtschaft allein an zusätzlicher Wartezeit ihrer reisenden Mitarbeiter vor dem Abflug geschätzt über 1 Million Euro pro Tag. Über die Unbequemlichkeit brauchen wir nicht zu reden, aber für mich ist es wirklich interessant zu beobachten, dass die Wirksamkeit und Sinnhaftigkeit von der Allgemeinheit nicht hinterfragt wird.

Bei der Informationssicherheit haben wir leider keine so rosige Situation. Wir müssen das benötigte Sicherheitsniveau erkennen und definieren, und alle Maßnahmen darauf abstimmen. Dadurch sorgt man aber auch automatisch dafür, dass nichts übertrieben wird. Für Unternehmen, bei denen die Anforderungen an die Informationssicherheit geringer sind als bei einer Bank oder im Gesundheitswesen, wird man daher auch einfachere Maßnahmen ergreifen, die dann auch entsprechend kostengünstiger sind. Gar keine Maßnahmen bringen aber jedenfalls signifikante wirtschaftliche und rechtliche Risiken.

Ghezzo: IT-Sicherheitsverantwortliche stehen vor der Herausforderung dem Management notwendige Maßnahmen schmackhaft machen zu müssen. Welche Argumente sind Ihrer Ansicht nach die schlagkräftigsten, um intern Informationssicherheit zu promoten?

Dr. Reiser:
Grundsätzlich ist der IT-Sicherheitsverantwortliche die falsche Person, um Informationssicherheit zu promoten. Der IT-Sicherheitsverantwortliche ist - wie der Name schon sagt - für die IT-Sicherheit zuständig. Das ist aber nur ein Teil der Informationssicherheit. Genau darin liegt aber auch zugleich das schlagkräftigste Argument des IT-Sicherheitsverantwortlichen für Informationssicherheit. Die IT ist nicht einmal in der Lage, gute IT-Sicherheit umzusetzen, wenn nicht das gesamte Unternehmen seinen Beitrag dazu leistet.

Die IT kann sich darum kümmern, dass wichtige Dokumente gut abgesichert bezüglich Vertraulichkeit und Verfügbarkeit auf den Festplatten liegen und sicher über die Leitungen bis zu den Druckern transportiert werden. Wenn das Dokument aber ausgedruckt über Tage im Auswurfschacht des Druckers liegen bleibt, und der vielleicht noch in einem ungesicherten Bereich steht, so ist die IT nicht mehr in der Lage, die Sicherheit dieser Informationen zu gewährleisten. Aus dieser Situation lässt sich leicht die Notwendigkeit von unternehmensweiten Maßnahmen zur Informationssicherheit ableiten, die nun einmal Chefsache ist.

Ghezzo: Inwieweit ist ein ROSI – Return on Security Investment – sinnvoll mess- und argumentierbar?

Dr. Reiser:
Eine seriöse ROSI kann es in diesem Zusammenhang derzeit nicht geben. Um einen ROSI zu berechnen, müssen wir einerseits wissen, wie hoch die Ausgaben sind - das lässt sich berechnen - aber wir müssten auch wissen, wie viel dies Ausgaben bringen. Das heißt, wir müssten wissen, wie viel es uns kostet, wenn wir die entsprechenden Sicherheitsmaßnahmen nicht treffen. Und genau hier ist der Haken. Wir können sogar mehr oder minder gut abschätzen, was ein einzelner Sicherheitsvorfall kostet, aber wir haben absolut keine brauchbaren statistisch vertretbaren Daten über die Wahrscheinlichkeit, dass ein bestimmter Sicherheitsvorfall bei einem bestimmten Unternehmen auftritt. Ohne diese Wahrscheinlichkeit lassen sich aber die Kosten nicht berechnen, die entstehen würden, wenn man eine bestimmte Sicherheitsmaßnahme nicht umsetzt. Und damit ist ein ROSI leider nicht sinnvoll und seriös messbar.

Ghezzo: Macht internes Marketing für Informationssicherheit Sinn und welche Maßnahmen empfehlen Sie dafür?

Dr. Reiser:
Internes Marketing für Informationssicherheit ist nicht nur sinnvoll, es ist unumgänglich, wenn man entsprechende Maßnahmen erfolgreich umsetzen möchte. Der Mensch, in diesem Fall der Mitarbeiter des Unternehmens, ist nicht nur das größte Sicherheitsrisiko, sondern auch die beste Sicherheitseinrichtung, je nachdem, wie gut er geschult, sensibilisiert und motiviert ist. Jede Maßnahme im Bereich der Informationssicherheit muss jenen Personen, die davon betroffen sind, vermarktet werden. Bevorzugt erfolgt diese Vermarktung über die eigene Marketingabteilung des Unternehmens, die ausnahmsweise einmal nach innen arbeitet. Natürlich kann man mal all die typischen Marketingideen verwenden, angefangen von einem Security-Maskotchen, Broschüren, typische Give-aways, Gewinnspiele, Plakate, Mousepads.

Bei allen Maßnahmen zur Verbesserung der Sicherheits-Sensibilität liegt der Schlüssel zum Erfolg im richtigen Mix. So gesehen darf man auch die Marketing-Maßnahmen nicht allein sehen. Sie müssen mit den Schulungsmaßnahmen, Richtlinien, Prozessen und natürlich auch technischen Maßnahmen zusammenpassen. Und das wichtigste: Vorbildwirkung der Geschäftsführung.

*Dr. Christian Reiser ist unabhängiger selbstständiger Consultant für Informationssicherheit mit dem Schwerpunkt "Sicherheit der virtuellen Werte durch organisatorische Maßnahmen und Sensibilisierung". Rechtliche Aspekte behandelt er dabei ebenso wie Gruppendynamik, Kommunikation und technische Konzepte. Daneben ist er Dozent an der Fachhochschule für Informationsberufe in Eisenstadt und Vortragender bei diversen Seminaren und Schulungen, sowie Mitglied des Stopline-Beirates, des CIRCA Steering Commitees und Streitschlichter für .at-domains.
(Conex. ra)


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Interviews

  • Orientierung am "Goldstandard" DSGVO

    "Ich bin der festen Überzeugung, dass wir weltweit eine Art "Dominoeffekt" bei der Einführung von Datenschutzvorschriften sehen werden, die sich alle am "Goldstandard" DSGVO orientieren. Aber dies ist weniger auf die Corona-Pandemie zurückzuführen, sondern hat eher mit dem Druck der Bevölkerung zu tun, die nicht mehr bereit ist, rücksichtsloses Verhalten zu akzeptieren", Michael Hambsch, Director Solution Consulting Continental Europe bei Snow Software äußert sich zum Thema Umgang mit Datenschutz und -sicherheit.

  • Elektronischer Rechnungsaustausch

    Die Experten Prof. Dr. Georg Rainer Hofmann vom eco - Verband der Internetwirtschaft e.V., Stefan Groß vom VeR, Verband elektronische Rechnung sowie Ha Doan von Comarch diskutieren Status und Entwicklung der elektronischen Rechnung. Sie alle sind beim Impulstag Digitalisierung am 25.06. in Garching vor Ort und werden dort mit Mirjana Stanisic-Petrovic vom Fraunhofer IAO umfangreiche Einblicke in ihre Erfahrungen geben.

  • Test auf das Down-Syndrom

    Der Theologe und Vorsitzende des Ethikrates, Peter Dabrock, befürwortet die kostenlose Abgabe eines Bluttests zur Früherkennung der Trisomie 21 bei schwangeren Frauen. Angesichts der Rechtslage und im Vergleich zu dem, was schon bezahlt werde, sehe er keinen Grund dafür, weshalb die Gesetzliche Krankenversicherung (GKV) diesen Test auf das Down-Syndrom bei Risikoschwangerschaften nicht bezahlen sollte, sagte Dabrock der Wochenzeitung "Das Parlament" (Montagausgabe). Der Wissenschaftler von der Friedrich-Alexander-Universität Erlangen-Nürnberg geht nicht davon aus, dass mit der kostenlosen Abgabe eines solchen Tests die Zahl der Schwangerschaftsabbrüche stark steigt. Er sagte: "Wir haben jetzt schon eine sehr hohe Zahl an Abbrüchen nach identifizierter Trisomie 21. Die würde vielleicht noch etwas steigen, aber es würde nicht auf ein Vielfaches hochschnellen mit der Neuregelung." Was die Spätabtreibungen betreffe, dürften die Zahlen eher rückläufig sein. Dabrock betonte: "So zu tun, als würde mit dem nichtinvasiven Test ein Damm gebrochen oder eine Grenze überschritten, das trifft einfach nicht zu."

  • Gut für Anwälte, schlecht für Anwender

    Das Bundeskabinett hat einen Gesetzentwurf zum Datenschutz beschlossen. Das geplante Ausführungs- bzw. Anpassungsgesetz soll die ab Mai 2018 geltende EU-Datenschutz-Grundverordnung (DSGVO) in nationales Recht umsetzen. Im Folgenden bewerten und erläutern drei Experten den Gesetzentwurf: Dr. Stefan Brink: Landesbeauftragter für Datenschutz und Informationsfreiheit in Baden-Württemberg; Mitherausgeber eines der führenden Datenschutzkommentare in Deutschland, Jan Philipp Albrecht: Mitglied des Europaparlaments; Berichterstatter des EU-Parlaments für die DSGVO-Gesetzgebungsverfahren, und Tim Wybitul: Partner der Wirtschaftskanzlei Hogan Lovells; JUVE führt ihn als einen der führenden deutschen Rechtsanwälte im Datenschutz; Herausgeber der Zeitschrift für Datenschutz (ZD) und Autor des Praxisleitfadens EU-Datenschutz-Grundverordnung im Unternehmen. Die Fragen stellte Peter Herkenhoff, Corporate Communications Manager bei Hogan Lovells in Düsseldorf.

  • Forderungsmanagement: Aufgabe für die Kommune

    Kirsten Pedd, Präsidentin des Bundesverbands Deutscher Inkasso-Unternehmen (BDIU), kritisiert in einem Interview die schlechte Zahlungsmoral der öffentlichen Hand. Pedd sagt: "Kommunale Forderungen werden zu fast 90 Prozent vollständig und pünktlich beglichen. Die 10 Prozent, bei denen das nicht der Fall ist, bereiten aber Probleme."

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen