IT-Sicherheit in der Rezession

Die Wirtschaftskrise begünstigt risikobasierte Outsourcing- und Sicherheitskonzepte

Seite: 3/3

Firma zum Thema

Angemessene Sicherheitskonzeption

Die Krise ist ein guter Zeitpunkt zur Überprüfung der Sicherheit im Unternehmen. Viele Unternehmen versuchen derzeit Anwendungen zu konsolidieren, um dadurch Kosten einzusparen. Im Rahmen dieser Analyse bietet es sich an, die für eine angemessene und wirtschaftlich tragbare Sicherheitskonzeption notwendigen Schutzbedarfs- und Risikoanalysen durchzuführen und die minimal notwendigen Sicherheitsanforderungen zu ermitteln. Dabei sind insbesondere Compliance-Anforderungen, z.B. bezüglich des Bundesdatenschutzgesetzes, als Mindestmaß einzuhalten.

Durch die Bestandsaufnahme können kritische Bereiche auch bei knappen Budgets gezielt angegangen werden, um eine maximal mögliche Risikoreduktion im Rahmen der Mittel zu erreichen. Bei Neuentwicklungen bzw. -anschaffungen sollten Sicherheitseigenschaften einer Anwendung oder eines Systems von Beginn an berücksichtigt werden. Werden Sicherheitsanforderungen frühzeitig definiert und die Umsetzung entlang des gesamten Entwicklungsprozesses sichergestellt, können Schwachstellen frühzeitig erkannt und behandelt werden. Dies ist in der Regel kosteneffektiver, als das nachträgliche Patchen von Systemen.

IT-Sicherheit und Outsourcing

Viele Unternehmen sehen auch die Möglichkeit, IT-Kosten durch Outsourcing einzusparen. Mit gezieltem Outsourcing können Unternehmen Ressourcen einsparen und sich auf ihre Kernkompetenzen konzentrieren. Neben der Ersparnis bei den laufenden Kosten sollen durch das Outsourcing eine höhere Leistungsqualität, eine flexiblere IT-Organisation, die Konzentration auf die Kernkompetenzen sowie eine höhere Sicherheit erreicht werden.

Dabei darf aber nicht vergessen werden, dass die Verantwortung für die IT-Sicherheit beim Unternehmen verbleibt und nicht an den Dienstleister ausgelagert werden kann. Wird die Risikovorsorge und -minimierung nicht ausreichend berücksichtigt, sind die positiven Effekte des Outsourcings schnell gefährdet.

Informationsrisiken sollten deshalb auch beim Outsourcing über den gesamten Lebenszyklus des Vorhabens identifiziert, bewertet und gesteuert werden. Auch hier empfiehlt es sich deshalb nach der Abgrenzung des Outsourcing-Gegenstands, dessen Wert für das Unternehmen im Rahmen einer Schutzbedarfsanalyse zu bestimmen und die aktuelle Ist-Situation einer Risikoanalyse zu unterziehen. Dadurch können Sicherheitsschwachstellen aufgedeckt werden, die sich durch das Auslagern verbessern lassen.

Zugleich dient die Analyse als Maßstab, um mögliche Verbesserungen oder Verschlechterungen des Sicherheitsniveaus während der Auslagerung zu beurteilen. Um abzuklären, ob ein Outsourcing-Dienstleister die Mindestanforderungen an die Sicherheit erfüllt bzw. eine weitere Risikominimierung ermöglicht, empfiehlt sich ein „Due-Diligence-Audit“. Dieser sollte sich an den Compliance-Audits zur Informationssicherheit - etwa ISO/IEC 27001:2005 - orientieren.

Auch hier zeigt die Deloitte Studie auf, dass viele Firmen sich blind auf den Dienstleister verlassen. Nur 20 Prozent der befragten Unternehmen aktiv die Sicherheit und die eingesetzten Mechanismen ihrer Outsourcing-Partner überprüfen.

Fazit

Gerade in der Wirtschaftskrise kommt es darauf an, seine Sicherheitsanforderungen genau zu kennen. Es geht nicht darum, das technisch Machbare umzusetzen, sondern eine wirtschaftlich sinnvolle und organisatorisch vertretbare Lösung umzusetzen. Grundlage dafür bilden Schutzbedarfs- und Risikoanalysen.

Unternehmen sollten die Chance nutzen, solche Analysen jetzt durchzuführen. Insbesondere dann, wenn die Geschäftsprozesse im Rahmen der Anwendungskonsolidierung oder eines Outsourcing-Vorhabens sowieso auf dem Prüfstand stehen. Dies wäre ein wichtiger Schritt, um der IT-Sicherheit gerade auch in wirtschaftlich schlechten Zeiten den richtigen Stellenwert beizumessen.

(ID:2040394)