Sie müssen sich mit dem Thema Sicherheit auseinandersetzen, weil Sicherheit für Ihre Kunden wichtig ist und weil Cyberangriffe und Sicherheitsereignisse mittlerweile vor keinem Unternehmen mehr Halt machen. Wir haben alle, die zahlreichen Beispiele für Datenschutzverletzungen, Angriffen und anderen Sicherheitsvorfälle in den Nachrichten gesehen. Normalerweise würde man erwarten oder erhoffen, dass die beteiligten Organisationen tatsächlich besser geschützt waren. IT-Sicherheit wurde 2014 aktueller denn je, sowohl in den Unternehmen als auch in den Medien.

Ihre Kunden - egal, ob Sie an Endverbraucher verkaufen oder an Unternehmen, sind für das Thema heute sensibilisiert. Daher sollten Sie sich, wenn Sie eine Leitungsfunktion im Unternehmen innehaben, dafür interessieren, ob Ihre Organisation gut genug auf einen größeren Cyberangriff oder einen Ausfall vorbereitet ist. Und das ist an sich schon Argumentation genug! Es gibt aber noch weitere Gründe, die ich Ihnen nennen will.

Image und wirtschaftlicher Erfolg:
Möglicherweise haben Sie Jahre daran gearbeitet, langsam aber sicher die Glaubwürdigkeit Ihrer Marke(n) aufzubauen. Sie möchten, dass Ihre Kunden Ihnen vertrauen können. Ein Sicherheitsereignis kann diese Glaubwürdigkeit, dieses Vertrauen, das Sie aufgebaut haben, in kürzester Zeit in einem Umfang schmälern, dass selbst die besten (oder teuersten) Image-Kampagnen dies nicht mehr zu richten im Stande sind.

Kosten:
Rechnen Sie dann noch die enormen Summen dazu, die bei einer großen Sicherheitsverletzung aufzubringen sind. Und zwar während des Ereignisses und im Anschluss für Untersuchungen, Schadensbeseitigung und Neueinrichtung. Der Diebstahl von Geschäftsgeheimnissen und/oder immateriellen Rechten sowie Industriespionage können bekanntlich teuer werden - und stellen für einige Unternehmen sogar eine Existenzbedrohung dar. Im Nachhinein wird es sich garantiert zeigen, dass mehr Investitionen in vorbeugende Sicherheit sinnvoll und auch wirtschaftlich gewesen wären. Auch auf Grund der Entwicklung des Bedrohungsbildes wird sich das perspektivisch als eine gute Investition erweisen.

Gesetze:
Sie sind gesetzlich zur Herstellung einer ausreichenden IT-Sicherheit verpflichtet. Denken Sie nur an die aktuellen und kommenden Datenschutzgesetze. Mit der kommenden EU-Verordnung über den Schutz von personenbezogenen Daten, die voraussichtlich für alle EU-Länder gelten wird, müssen Unternehmen bei Verletzung des Datenschutzes mit Strafen in Höhe von bis zu 5% ihres  Umsatzes rechnen. Es besteht eine umfassende Anzeigepflicht bei Verstößen gegen die Datensicherheit gegenüber Betroffenen (Data breach notification), was in der praktischen Umsetzung sowohl teuer als auch kompliziert ist. Hinzu kommen diverse branchenspezifische Anforderungen; beispielsweise müssen Finanzunternehmen die Anforderungen der Finanzaufsicht an die IT-Sicherheit erfüllen, und es bestehen besondere Anforderungen an den Energie-Sektor, den Gesundheitssektor und an staatliche Einrichtungen und Unternehmen, welche die ISO 27001-Norm erfüllen müssen.

Governance-Anforderungen:
Die gesellschaftliche Governance-Anforderungen verlangen 1) dass die Geschäftsleitung die notwendigen Risikomanagement-Verfahren und interne Kontrollen einrichtet, 2) dass die Geschäftsleitung Stellung zu strategischen und geschäftlichen Risiken nimmt und 3) dass eine Leitung, die der Gesellschaft fahrlässig Schaden zugefügt hat, diesen ersetzen muss.  Mit anderen Worten gibt es hier noch eine Reihe von rechtlichen Gründen, sich für Informationssicherheit zu interessieren.

Audits/Prüfungen:
Wahrscheinlich sind Sie bestrebt, Ihren Unternehmensprüfern keinen Grund zu Beanstandungen zu liefern. Und Ihre IT-Sicherheit wird ja auch geprüft. Egal, ob einige Wirtschaftsprüfungsgesellschaften eine zweifelhafte Doppelrolle ausfüllen (da sie gleichzeitig eine breite Palette an sowohl praktischen als auch theoretischen Dienstleistungen im Bereich der IT-Sicherheit anbieten), zahlt es sich für Sie aus, eine Prüfung proaktiv anzugehen. Es muss für Sie leicht nachweisbar sein, dass Sie Ihre Informationssicherheit im Griff haben.

Was aber müssen Sie als oberste Führungskraft tun, außer sich für das Thema zu interessieren? Ganz einfach: A) müssen Sie in Ihrer Organisation kommunizieren, dass Sicherheit wichtig und eine Voraussetzung für Ihre geschäftliche Tätigkeit ist, und B) müssen Sie untersuchen, ob Sie ausreichend finanzielle und personelle Ressourcen in Ihrer Organisation für das tägliche, praktische Management Ihrer Informationssicherheit zur Verfügung haben.

Wenn Sie selbst noch einen Spatenstich tiefer gehen wollen, empfehle ich Ihnen, Ihre Reife auf folgenden Gebieten zu untersuchen:

  1. Politiken, Regeln, Verfahren und Dokumentation
  2. Risikomanagement (Risikobewertungen und laufendes Risikomanagement)
  3. Umgang mit Ereignissen und Notfallpläne

Eine ordentliche Governance und ein ordentliches IT-Sicherheitsmanagement sind zu einer Selbstverständlichkeit geworden, weil sie Voraussetzung sind für die geschäftliche Tätigkeit der meisten Unternehmen. Aus diesem Grund muss sich eine Geschäftsleitung für Informationssicherheit interessieren.