Das große Schweigen aus der Chefetage

An Maßnahmen für die IT-Sicherheit kommt ein Unternehmen nicht vorbei, doch Technik allein reicht nicht. Die hartnäckige Weigerung der Geschäftsleitung, sich mit dem Thema zu beschäftigen, ist fahrlässig.

Mitarbeiter können im Netz bewusst oder unbewusst auf Informationen zugreifen, die sie nichts angehen. Oft ist es die Neugier, in den seltensten Fällen passiert es mit der Absicht, die Daten zur Sabotage oder gar Erpressung zu nutzen. Meistens ist es sogar nur ein Versehen, weil die (Un-)Sicherheit der IT es zugelassen hat.

Mit verhältnismäßig einfachen Mitteln lässt sich dem Treiben ein Riegel vorschieben. Das Netzwerk müsse “vor dummen und gefährlichen Personen geschützt werden”, fasste es Peter Crowcombe, Director of Enterprise Marketing von Juniper Networks, zusammen. Diese Notwendigkeit sehen alle in der IT-Abteilung, besonders der Security-Fachmann.

Eine bedrohliche Sehschwäche hingegen muss man bei den meisten Geschäftsführern vermuten, insbesondere bei kleineren Unternehmen. Nur allzu gern lassen sie den IT-Verantwortlichen mit der Sache allein. Diese Tatsache brachte auch die Studie von silicon.de zum Thema IT-Sicherheit zu Tage. Nur 40 Prozent der Unternehmen mit weniger als 50 Mitarbeitern haben eine schriftliche Richtlinie, die den Mitarbeitern ausgehändigt wird, und bei nur 23 Prozent der Unternehmen dieser Größe beteiligt sich die Geschäftsleitung an der schriftlichen Kommunikation zu diesem Thema.

Das ist eine gefährliche Vernachlässigung unternehmerischer Pflichten, denn zum einen müssen Maßnahmen in Sachen IT-Sicherheit gegenüber den Mitarbeitern von oberster Stelle kommuniziert und beschlossen werden, andererseits haften die Geschäftsführer selbst im Schadensfall. “IT-Sicherheit im Mittelstand ist eine Management-Katastrophe”, resümiert Wilfried Reiners, Rechtsanwalt mit IT-spezifischem Know-how.

Würde der Geschäftsleitung bewusst sein, welche Konsequenzen eine brüchige IT-Sicherheitsstrategie haben kann, würde sie anders handeln. Und genau hier müsse der IT-Leiter sein Management packen, empfiehlt Reiners. Schmackhaft mache man dem Chef die IT-Security nur, wenn er sieht, wo es wirklich weh tut. Und das sind Haftung und Geld. Verletzungen des Datenschutzes, Informationslecks oder ein Stillstand der Produktion aufgrund unzureichender Maßnahmen – am Ende fällt es immer auf den Chef zurück.

Ist der Chef erst einmal im Prozess eingebunden, klappt es auch bei den Mitarbeitern. Die sind nämlich durchaus bereit, zu IT-Sicherheit beizutragen. “Die Bereitschaft der Mitarbeiter, sich selbst als Risikofaktor auszuschließen, ist durchaus vorhanden”, so Reiners. Denn ohne ausreichende Sicherheit kein profitables Unternehmen und kein Job.

Mehr zu IT-Sicherheit und Management sowie zu anderen interessanten Themen rund um Security gibt es live am 6. Februar 2006 in Stuttgart, auf dem silicon.de Forum IT Security 2007.