Viele Unternehmen behandeln IT-Sicherheitsrichtlinien stiefmütterlich
München (ots)
COMPUTERWOCHE Online-Umfrage zeigt: Nur ein Fünftel der Anwender geben an, dass es in ihrem Unternehmen schriftlich fixierte Security Policies gibt / Richtlinien schaffen Verbindlichkeit, klare Verantwortlichkeiten und helfen, finanzielle Belastungen zu vermeiden
München, 7. Mai 2004 - In rund 80 Prozent der deutschen Unternehmen existieren nach Wissen der Anwender keine offiziell dokumentierten Richtlinien für die IT-Sicherheit. Das ist das Ergebnis einer Online- Umfrage der IT-Fachzeitung COMPUTERWOCHE (Ausgabe 19, EVT: 7. Mai) unter 763 Lesern. Nur 17 Prozent der Umfrage-Teilnehmer haben Kenntnis davon, dass ein solches Regelwerk besteht, drei Prozent sind sich nicht sicher.
Damit wird deutlich: Deutsche Unternehmen tun sich bei der Formulierung von IT-Sicherheitsstandards schwer und hinken im europäischen Vergleich, zum Beispiel gegenüber England, hinterher. Michael Mehrhoff, Referent für Systemsicherheit und Grundschutz im Bundesamt für Sicherheit in der Informationstechnik (BSI) kritisiert die Sorglosigkeit deutscher Unternehmer: "Für viele Unternehmen ist IT-Sicherheit noch ein Randthema, das lästige Zusatzaufgaben bedeutet und Kosten verursacht." Außerdem schrecke die Komplexität des Themas ab. "Die betroffenen Firmen wissen oft nicht, wie sie das Erstellen einer Sicherheitsrichtlinie angehen sollen", meint Mehrhoff. Dabei könne man mit einer solchen Maßnahme auch Geld sparen. Werde die Sicherheit zu Beginn neuer Projekte außer Acht gelassen, fielen hinterher nicht selten hohe Kosten für Nachbesserungen an.
Eine Handlungsanleitung, die klare IT-Verhaltensregeln definiert, kann so manches Ungemach verhindern: "Man schafft mit einer schriftlich fixierten Sicherheitsleitlinie einfach Verbindlichkeit und klare Verantwortlichkeiten", erklärt Peter Wirnsperger, Senior Manager Security Services Group beim Beratungsunternehmen Deloitte.
Wie umfangreich eine Security Policy sein sollte, ist eine Ermessensfrage. In jedem Fall sollte sie beinhalten, wie mit schützenswerten Informationen umgegangen wird. Ferner sollten die Leitlinien wichtige Rollen in der Unternehmens-IT und Personalmaßnahmen, etwa Schulungen, beschreiben. Schließlich sollten sie grundlegende Sicherheitsmaßnahmen ebenso festlegen wie Regelungen für spezifische IT-Dienste. Wichtig ist bei der Formulierung des Regelwerks auch, es nicht nur unter technischen Aspekten zu betrachten, sondern die Linien so zu verfassen, dass sie als Teil der Unternehmenskultur akzeptiert werden. "IT-Sicherheit muss im Unternehmen gelebt werden", sagt BSI-Mann Mehrhoff. Tipps, wie solch eine Security Policy formuliert werden kann, finden sich unter anderem in dem vom BSI erstellen Grundschutzhandbuch (GSHB), das auch im Internet unter www.bsi.bund.de/gshb verfügbar ist.
Für Rückfragen: Martin Seiler, Redaktion COMPUTERWOCHE, Tel. 089/360 86-182, Fax 089/360 86-109
ots-Originaltext: Computerwoche
Digitale Pressemappe: http://www.presseportal.de/story.htx?firmaid=8155
Original content of: IDG Computerwoche, transmitted by news aktuell