All Stories
Follow
Subscribe to IDG Computerwoche

IDG Computerwoche

Viele Unternehmen behandeln IT-Sicherheitsrichtlinien stiefmütterlich

München (ots)

COMPUTERWOCHE Online-Umfrage zeigt: Nur ein
Fünftel der Anwender geben an, dass es in ihrem Unternehmen
schriftlich fixierte Security Policies gibt / Richtlinien schaffen
Verbindlichkeit, klare Verantwortlichkeiten und helfen, finanzielle
Belastungen zu vermeiden
München, 7. Mai 2004 - In rund 80 Prozent der deutschen
Unternehmen existieren nach Wissen der Anwender keine offiziell
dokumentierten Richtlinien für die IT-Sicherheit. Das ist das
Ergebnis einer Online- Umfrage der IT-Fachzeitung COMPUTERWOCHE
(Ausgabe 19, EVT: 7. Mai) unter 763 Lesern. Nur 17 Prozent der
Umfrage-Teilnehmer haben Kenntnis davon, dass ein solches Regelwerk
besteht, drei Prozent sind sich nicht sicher.
Damit wird deutlich: Deutsche Unternehmen tun sich bei der
Formulierung von IT-Sicherheitsstandards schwer und hinken im
europäischen Vergleich, zum Beispiel gegenüber England, hinterher.
Michael Mehrhoff, Referent für Systemsicherheit und Grundschutz im
Bundesamt für Sicherheit in der Informationstechnik (BSI) kritisiert
die Sorglosigkeit deutscher Unternehmer: "Für viele Unternehmen ist
IT-Sicherheit noch ein Randthema, das lästige Zusatzaufgaben bedeutet
und Kosten verursacht." Außerdem schrecke die Komplexität des Themas
ab. "Die betroffenen Firmen wissen oft nicht, wie sie das Erstellen
einer Sicherheitsrichtlinie angehen sollen", meint Mehrhoff. Dabei
könne man mit einer solchen Maßnahme auch Geld sparen. Werde die
Sicherheit zu Beginn neuer Projekte außer Acht gelassen, fielen
hinterher nicht selten hohe Kosten für Nachbesserungen an.
Eine Handlungsanleitung, die klare IT-Verhaltensregeln definiert,
kann so manches Ungemach verhindern: "Man schafft mit einer
schriftlich fixierten Sicherheitsleitlinie einfach Verbindlichkeit
und klare Verantwortlichkeiten", erklärt Peter Wirnsperger, Senior
Manager Security Services Group beim Beratungsunternehmen Deloitte.
Wie umfangreich eine Security Policy sein sollte, ist eine
Ermessensfrage. In jedem Fall sollte sie beinhalten, wie mit
schützenswerten Informationen umgegangen wird. Ferner sollten die
Leitlinien wichtige Rollen in der Unternehmens-IT und
Personalmaßnahmen, etwa Schulungen, beschreiben. Schließlich sollten
sie grundlegende Sicherheitsmaßnahmen ebenso festlegen wie Regelungen
für spezifische IT-Dienste. Wichtig ist bei der Formulierung des
Regelwerks auch, es nicht nur unter technischen Aspekten zu
betrachten, sondern die Linien so zu verfassen, dass sie als Teil der
Unternehmenskultur akzeptiert werden. "IT-Sicherheit muss im
Unternehmen gelebt werden", sagt BSI-Mann Mehrhoff. Tipps, wie solch
eine Security Policy formuliert werden kann, finden sich unter
anderem in dem vom BSI erstellen Grundschutzhandbuch (GSHB), das auch
im Internet unter www.bsi.bund.de/gshb verfügbar ist.
Für Rückfragen: 	
Martin Seiler, Redaktion COMPUTERWOCHE,
Tel. 089/360 86-182, Fax 089/360 86-109
ots-Originaltext: Computerwoche
Digitale Pressemappe: 
http://www.presseportal.de/story.htx?firmaid=8155

Original content of: IDG Computerwoche, transmitted by news aktuell

More stories: IDG Computerwoche
More stories: IDG Computerwoche