Fachartikel, 16.11.2006
Sicherheitsmanagement
Relevanz von IT-Sicherheit - theoretisch erkannt, praktisch vernachlässigt
Ohne Computer und Internet funktioniert heutzutage nichts mehr, insbesondere im Arbeitsleben. Weitgehend sind die damit verbundenen Bedrohungen aus dem Internet, aber auch durch unachtsames Verhalten von Anwendern, Sicherheitslücken und -mängeln in der Organisation bis hin zu böswilligen Attacken auf Computersysteme bekannt.
Warum reagieren Unternehmen dann erst nach einem Schadensfall? Diese Frage stellt sich der Datenschutzexperte Harald Pultar aus Mainz. Wie das Bundesamt für Sicherheit in der Informationstechnologie (BSI) in seinem Bericht zur Lage der IT-Sicherheit in Deutschland feststellt, wird das Thema erst nach einem Schadensfall wahrgenommen, obgleich der wirtschaftliche Erfolg maßgeblich von einer funktionierenden IT abhängt.
Wie eine Umfrage von GULP - das Portal für IT-Projekte und Marktführer in der Besetzung von IT-Projekten mit externem Personal zeigt, wird das Thema IT-Sicherheit von Projektanbietern und IT-Freiberuflern als sehr bedeutend eingestuft. Nach einer repräsentativen Studie des BSI haben rund 83 Prozent der befragten Wirtschaftsunternehmen das Thema IT-Sicherheit auf Platz eins oder zwei ihrer Prioritätenliste gesetzt.
„In der Praxis zeigt sich jedoch eine große Diskrepanz zwischen Anspruch und Umsetzung”, weiß Pultar. Während bei Großunternehmen die Sicherheits-Budgets laut Studie von CIO, CSO und PricewaterhouseCoopers um durchschnittlich 17 Prozent steigen, deckt eine Untersuchung durch Checkpoints noch große Lücken gerade im deutschen Mittelstand auf. „Hiernach hat etwa die Hälfte der Unternehmen keinen Datenschutzbeauftragten und etwa 40 Prozent keinerlei Maßnahmen ergriffen, Mitarbeiter über Risiken aufzuklären, entsprechend zu schulen sowie Regeln im Umgang mit der IT aufzustellen und zu kontrollieren”, so der Datenschutzexperte weiter.
Da es noch kein kodifiziertes Recht der IT-Sicherheit gibt, müssen Haftungsfragen vor Gericht stets im Einzelfall entschieden werden - die Rechtsprechung wird auf Grund von Präjudizien weiterentwickelt. Ob ein Unternehmen fahrlässig gehandelt oder die notwendige Sorgfalt vermissen lässt, wird neben Sachverständigen, Standards und branchenüblichen Maßnahmen auch durch die Awareness-Aktivität des Unternehmens beurteilt. „Dabei könnte sich die Mitarbeitersensibilisierung und die Erfüllung der klaren Vorgaben der im Anhang zu § 9 Bundesdatenschutzgesetz definierten sieben Kontrollpflichten wie Zutritts- und Zugriffskontrolle eher auszahlen, als reine Technikdetails”, gibt Pultar zu Bedenken.
Warum reagieren Unternehmen dann erst nach einem Schadensfall? Diese Frage stellt sich der Datenschutzexperte Harald Pultar aus Mainz. Wie das Bundesamt für Sicherheit in der Informationstechnologie (BSI) in seinem Bericht zur Lage der IT-Sicherheit in Deutschland feststellt, wird das Thema erst nach einem Schadensfall wahrgenommen, obgleich der wirtschaftliche Erfolg maßgeblich von einer funktionierenden IT abhängt.
Wie eine Umfrage von GULP - das Portal für IT-Projekte und Marktführer in der Besetzung von IT-Projekten mit externem Personal zeigt, wird das Thema IT-Sicherheit von Projektanbietern und IT-Freiberuflern als sehr bedeutend eingestuft. Nach einer repräsentativen Studie des BSI haben rund 83 Prozent der befragten Wirtschaftsunternehmen das Thema IT-Sicherheit auf Platz eins oder zwei ihrer Prioritätenliste gesetzt.
„In der Praxis zeigt sich jedoch eine große Diskrepanz zwischen Anspruch und Umsetzung”, weiß Pultar. Während bei Großunternehmen die Sicherheits-Budgets laut Studie von CIO, CSO und PricewaterhouseCoopers um durchschnittlich 17 Prozent steigen, deckt eine Untersuchung durch Checkpoints noch große Lücken gerade im deutschen Mittelstand auf. „Hiernach hat etwa die Hälfte der Unternehmen keinen Datenschutzbeauftragten und etwa 40 Prozent keinerlei Maßnahmen ergriffen, Mitarbeiter über Risiken aufzuklären, entsprechend zu schulen sowie Regeln im Umgang mit der IT aufzustellen und zu kontrollieren”, so der Datenschutzexperte weiter.
Da es noch kein kodifiziertes Recht der IT-Sicherheit gibt, müssen Haftungsfragen vor Gericht stets im Einzelfall entschieden werden - die Rechtsprechung wird auf Grund von Präjudizien weiterentwickelt. Ob ein Unternehmen fahrlässig gehandelt oder die notwendige Sorgfalt vermissen lässt, wird neben Sachverständigen, Standards und branchenüblichen Maßnahmen auch durch die Awareness-Aktivität des Unternehmens beurteilt. „Dabei könnte sich die Mitarbeitersensibilisierung und die Erfüllung der klaren Vorgaben der im Anhang zu § 9 Bundesdatenschutzgesetz definierten sieben Kontrollpflichten wie Zutritts- und Zugriffskontrolle eher auszahlen, als reine Technikdetails”, gibt Pultar zu Bedenken.
ZUM AUTOR
Über Harald Pultar
EDV-Beratung Pultar GmbH
Harald Pultar ist Wirtschaftsinformatiker, zertifizierter Betrieblicher Datenschutzbeauftragter (GDDcert.), Mitglied der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) und dem Bundesverband der Datenschutzbeauftragten in Deutschland (BvD). Herr Pultar blickt auf mehr als 25 Jahre Berufserfahrung in den Bereichen Datenverarbeitung, Software Entwicklung, IT-Sicherheit, Projektmanagement, Datenschutz zurück. 1991 gründete Pultar die EDV-Beratung Pultar GmbH, die Unternehmen qualifizierte Beratung zum Thema Datenschutz, Datensicherheit und IT-Security bietet, und übernimmt. in Betrieben unter anderem die Einführung des Datenschutzmanagement und die Funktion des externen Datenschutzbeauftragten gemäß den gesetzlichen Anforderungen.
EDV-Beratung Pultar GmbH
Sattlerweg 1
55128 Mainz
+49-6131-330821
WEITERE ARTIKEL VON EDV-BERATUNG PULTAR GMBH
Wirtschafts- und Arbeitsrecht: AGG - "Gleichbehandlung" auch im Datenschutz
http://perspektive-mittelstand.de/Allgemeine-Gleichbehandlungsgesetz-AGG-Aspekt-Datenschutz-/management-wissen/651.html
IT/Telekommunikation: Änderungen im Bundesdatenschutzgesetz
http://perspektive-mittelstand.de/Datenschutz-Neues-im-Bundesdatenschutzgesetz-fuer-Unternehmen/management-wissen/593.html
IT/Telekommunikation: Grundschutz und Datensicherung zahlen sich aus!
http://perspektive-mittelstand.de/IT-Sicherheit-Datensicherung-und-Grundschutz-zahlen-sich-aus/management-wissen/540.html
Management: Geschäftsleitung ist IT-Haftungsrisiken ausgesetzt
http://perspektive-mittelstand.de/Datenschutz-Geschaeftsleitung-ist-IT-Haftungsrisiken-ausgesetzt/management-wissen/500.html
Link zum Artikelfach des Autoren
http://perspektive-mittelstand.de/EDV-Beratung-Pultar-GmbH/CorporateShowroom/Artikel/1271.html
Link zur Online-Version dieses Beitrags
http://perspektive-mittelstand.de/IT-Sicherheit-Gefahren-erkannt-praktisch-vernachlaessigt/management-wissen/729.html
Über Perspektive Mittelstand
Die Perspektive Mittelstand ist eine unabhängige, branchenübergreifende Business-Plattform zur Förderung der Leistungs- und Wettbewerbsfähigkeit kleiner und mittelständischer Unternehmen und ihrer Mitarbeiter. Ziel der Initiative ist es, über hochwertige Informations-, Kommunikations- und Dienstangebote rund um den unternehmerischen und beruflichen Alltag die Wissensbildung, Kommunikation und Interaktion von und zwischen Existenzgründern, Unternehmern, Fach- und Führungskräften und sonstigen Erwerbstätigen zu unterstützen. Weitere Informationen zur Perspektive Mittelstand unter: www.perspektive-mittelstand.de
Die Perspektive Mittelstand ist eine unabhängige, branchenübergreifende Business-Plattform zur Förderung der Leistungs- und Wettbewerbsfähigkeit kleiner und mittelständischer Unternehmen und ihrer Mitarbeiter. Ziel der Initiative ist es, über hochwertige Informations-, Kommunikations- und Dienstangebote rund um den unternehmerischen und beruflichen Alltag die Wissensbildung, Kommunikation und Interaktion von und zwischen Existenzgründern, Unternehmern, Fach- und Führungskräften und sonstigen Erwerbstätigen zu unterstützen. Weitere Informationen zur Perspektive Mittelstand unter: www.perspektive-mittelstand.de