“IT-Sicherheit braucht Qualitätssicherung”

“Viele Investitionen in die IT-Sicherheit laufen ins Leere”, so Peter Graf, Geschäftsführer des Bremer Unternehmens Ampeg, im silicon.de-Interview. Graf fordert, den Erfolg von Sicherheitsmaßnahmen wie dem Ausbringen von Patches zu überprüfen. Ampeg hat daran auch ein Eigeninteresse, das Unternehmen bietet eine entsprechende Software an.

silicon.de: Was setzen Sie dagegen?

Graf: Wir setzen auf Transparenz, als Grundlage für eine funktionierende Qualitätssicherung. Und sehen das Security Management der Unternehmen in der Verantwortung, diese Aufgabe zu übernehmen. Den Administratoren kann man nicht auftragen, Sicherheitsupdates auszurollen und den Erfolg dieser Verteilung selbst zu kontrollieren. Man stelle sich vor, in der Produktion würden die Herstellung der Produkte und die Qualitätssicherung in einer Hand liegen. Es gibt heute die technischen Möglichkeiten für das Management, sich selbst einen Überblick über das aktuelle Schutzniveau im Netzwerk zu verschaffen und Maßnahmen zur Optimierung einzurichten.

silicon.de: Werden bei der Qualitätskontrolle eher technische Probleme oder organisatorische Mängel entdeckt?

Graf: Technik und Prozesse greifen ineinander und eine professionelle Überprüfung muss beide Bereiche abdecken. Technische Fehler oder Ungenauigkeiten kommen in jedem Unternehmen vor. Darum muss es Möglichkeiten geben, die technischen Systeme jederzeit zu überprüfen. Andersherum lassen Schwachstellen auch Rückschlüsse auf Schwächen in der Organisation zu. Grundvoraussetzung für eine Erfüllung des gewünschten Security Level ist, dass die unternehmenseigenen Policies in klare Regeln überführt werden. Es reicht nicht aus, dass die Maßgabe lautet: ‘Mein Virenschutz muss State of the Art sein’.