Informatik-Sicherheitsmanagement: Eine Herausforderung für die Unternehmensführung

Durch die zunehmende Abhängigkeit der Unternehmungen von informa- tionstechnischen Einrichtungen wächst die Bedeutung der Informations- sicherheit und wird zu einer zentralen Fragestellung. Die Sicherheitsproblematik der frühen technischen Informatik konzentrierte sich auf Funktionssicherheit und behandelte Probleme der Verfügbarkeit von Ressourcen und der Korrektheit von Programmen. In einer Phase der Umorientierung anfangs der 70er Jahre erkannte man, dass nicht so sehr die einzelnen Abläufe und Programme im Mittelpunkt stehen, sondern vielmehr den Daten eine zentrale Bedeutung zukommt. Der Sicherheitsbegriff wurde um Fragestellungen der Datenintegrität und der Konsistenz in Datenbanken erweitert. Durch die Verbreitung Offener Systeme, welche eine Kommuni- kation unterschiedlichster Rechner und Dienstleistungsstellen ermöglichen, wird das Problem der Datengeheimhaltung zu einer aktuellen Problem- stellung. Sichere Verschlüsselungsalgorithmen und kryptographische Ver- fahren sind Lösungsmethoden zu diesen neuen Sicherheitsfragen. Die Kopplung dieses erweiterten. Sicherheitsverständnisses bezüglich Infor- mationstechnik (11') mit ökonomischen Zielsetzungen war die Motivation zu dieser Arbeit. Die Integration von IT-Sicherheit in eine unternehmenweit gültige Sicherheitskonzeption verlangt als Konsequenz die Vorgabe einer adäquaten Sicherheitspolitik durch die Unternehmensführung. Die Inhalte dieser Sicherheitspolitik müssen mit den übrigen unternehmerischen Ziel- setzungen, die in der Unternehmenspolitik festgehalten sind, konform gehen. Eine Sensibilisierung des Topmanagements für Sicherheitsfragen und in besonderem Masse für IT-Sicherheitsfragen ist daher eine zwingende Vor- aussetzung für eine erfolgreiche Sicherheitskonzeption. Um den Managementaspekten bei der Erstellung von IT -Sicherheitskonzepten Rechnung zu tragen, bedarf es eines Kosten/Nutzen-Kalküls, das ein ökono- misch orientiertes Vorgehen bei der Lösung von Sicherheitsfragen im IT- Bereich ermöglicht. Ebenso bedarf es der Institutionalisierung betrieblicher Abläufe bei der Risikobewältigung.