3.1. Übergang der IT-Sicherheit zum Management von Informationsrisiken

Während sich die IT-Sicherheit traditionell eher auf technische Risiken fokussiert und Lösungsansätze technisch geprägt sind, ist es aktuell notwendig geworden, IT-Technik nicht als Schutzobjekt an sich zu begreifen, sondern nur als Vehikel, um die darin enthaltenen schützenswerten Informationen zu verarbeiten. Daraus folgt, dass der Schutzbedarf des Business-Prozesses im Vordergrund steht und Daten bzw. die Technik als Mittel zum Zweck betrachtet werden. Es ist notwendig, nicht nur technische Schwachstellen zu analysieren, sondern auch den „menschlichen Faktor“ einzubeziehen. Als Schutzmaßnahmen werden daher auch organisatorische Maßnahmen notwendig, die eine Verhaltensänderung der Mitarbeiter bedingen und so langfristig einen Einfluss auf die Unternehmenskultur und den Umgang mit sensiblen Informationen haben.

Tabelle 2 zeigt die „Lines of Defenses“ im Hinblick auf die begriffliche Differenzierung von Information Security und auf beteiligte Organisationsteile.

Tabelle 2: Lines of Defenses“ in Bezug auf die begriffliche Differenzierung von „Information Security“ und auf beteiligte Organisationsfunktionen.

Zwar definiert die IT-Security auch den Schutzbedarf für IT-Systeme und Infrastrukturkomponenten, beschränkt sich aber sonst vor allem auf die technische Abwehr von unerlaubten Zugriffen auf definierte Schutzzonen und vor allem Daten. Klassischerweise ist dies die Abwehr von schädlichen Codes und der Schutz von Infrastrukturen und Kommunikationsmitteln. Der Begriff Information-Security ist hingegen weiter gefasst und enthält alle Maßnahmen zum Schutz von Informationen und Knowhow. Information-Security ist auf der anderen Seite ein Teilaspekt der IP-Protection,⁴ zu der zusätzlich Strategien für Patent-Management, Markenschutz etc. gehören. Dem folgend ist IP-Protection noch weiter gefasst und befasst sich zusätzlich mit dem Umgang von geistigem Eigentum wie Patenten, Marken und anderen Schutzrechten. In Bezug auf die beteiligten Organisationsteile wird deutlich, dass Information-Security und IP-Protection in zunehmendem Maße auch anderen Bereichen, wie z.B. Legal und Communication zuzuordnen sind. Die Maßnahmen des hier entwickelten Programms sind auf den Schutz von Informationen fokussiert und schließen die Maßnahmen der IT-Security implizit mit ein.

Hauptziel des Management von Informationsrisiken ist es, einen „Werkzeug-Kasten“ (Toolbox) für die Reaktion auf Gefährdungen und Krisen zur Verfügung zu stellen, relevante Informationsrisiken zu identifizieren und entsprechende risikoauflösende oder risikoreduzierende Maßnahmen zu entwickeln. Hierbei sind auch Maßnahmen der Risikoverlagerung zu betrachten oder die Möglichkeit, Informationsrisiken in Geschäftsprozesse zu transferieren. Zusammenfassend lässt sich sagen, dass sich das Management von Informationsrisiken mit dem Steuern von Risiken befasst, während IT-Sicherheit nur deren Vermeidung anstrebt. Der Übergang zum Risikomanagement setzt neben einem entsprechenden Auftrag des Managements vor allem eine entsprechende Methodik voraus, die alle notwendigen Hilfsmittel liefert. Da in der hier dargestellten Ausgangssituation klar war, dass das Risiko-Management als Prozess in der IT-Funktion der Organisation verbleiben soll, wurde die zu definierenden Abläufe an das Prozessmodell der IT nach ITIL⁵ (Clinch, 2009) definiert.

⁴ IP-Protection = Protection of intellectual property = Schutz von geistigem Eigentum.
⁵ ITIL = IT Infrastructure Library