Sicherheit gehört ins IT-Management

Kleiner Fehler, großer Schaden: Aufgrund von Ferienabwesenheit wurde in einem Finanzinstitut ein ungeprüfter Change eingespielt, der am Access System einige Konfigurationsparameter änderte. Wegen einer Sicherheitslücke in einer veralteten Software konnte außerdem ein noch aktiver Account eines früheren Administrators übernommen werden. So hat sich ein Angreifer weitere Zugriffsrechte verschafft und über längere Zeit sensible Kundendaten extrahiert.

Dieses Szenario ist zwar fiktiv, aber nicht unrealistisch. Zwar wird Security in den meisten Unternehmen als strategische Management-Aufgabe wahrgenommen und entsprechend "High-Level" behandelt. Die konkreten Sicherheits-Projekte werden jedoch häufig isoliert vom Betrieb als zusätzliche Layer aufgesetzt und nicht in die IT-Governance eingebunden. Cyberangriffe erfolgen aber nicht auf PowerPoint-Folien, sondern auf die meistens sehr kleinen Schwachstellen in der operativen Infrastruktur.

Vom CISO, der internen Revision oder dem Regulator getrieben, wird meist top-down ein Policy-Framework aufgebaut. Doch von oben veranlasste Vorgaben greifen selten bis in die betriebliche Realität. Was fehlt, ist die Rückmeldeschleife aus dem Betrieb. Damit ist nicht der regelmäßige Auditbericht gemeint, der als zusätzliches Kontrollinstrument seine Berechtigung hat. Es geht vielmehr um die Nutzung der vorhandenen Informationsquellen aus dem Service-Management.

Zwar führen viele Unternehmen Service-Management-Prozesse wie Change, Deployment und Incident sowie die entsprechenden Tools auf einem hohen Reifegrad nach ITIL ein oder lassen sich sogar nach ISO 20000 zertifizieren. Aber für das Risiko-Management werden diese Methoden meist nicht genutzt. Wenn Security als Qualitätsfaktor eines IT-Services verstanden wird, liegt die Integration in die Service-Management-Prozesse eigentlich auf der Hand.