Die Redaktion von „Computerwelt“ hat mit Holger Schellhaas ein Interview über „Sinn und Unsinn von IT-Compliance & IT-Sicherheit in KMUs“ geführt. Mit freundlicher Genehmigung ist das Interview im Folgenden wiedergegeben.
Holger Schellhaas ist selbständiger Managementberater und Trainer in München und Partner der TCI Transformation Consulting International GmbH. Er ist spezialisiert auf Prozess- und Risiko-Management (COSO, COBIT), Qualitätsmanagement (Six Sigma) und IT-Governance (BSC) einschließlich Begleitung der Veränderungsprozesse in den Unternehmen. Herr Schellhaas ist studierter Diplommathematiker mit mehr als 25 Jahren Praxis als Manager, Berater und Softwareentwickler. Er ist Autor zahlreicher Veröffentlichungen und gefragter Referent und Moderator auf in- und ausländischen Konferenzen, Seminaren und Kongressen.
Computerwelt: Sicherheit wird oft wie ein Stiefkind behandelt: Kostet nur Geld, bringt nichts für den Unternehmenserfolg – Gibt es denn auch wirtschaftliche Argumente z.B. für einen IT-Grundschutz?
Schellhaas: Erfolgreiche Unternehmen – gerade auch KMUs – wissen, dass die IT keine Exotenbranche, sondern die Grundlage für den eigenen Erfolg ist, und sie haben auch verstanden, dass dies voraussetzt, die Risiken in der IT und durch die IT ausreichend kontrollieren zu können (und dies dann auch zu tun). Wer heute noch an der Existenzberechtigung eines IT-Grundschutzes oder allgemeiner eines Risikomanagements in der IT zweifelt, hat irgendwie die letzten Jahre verschlafen. Der IT-Grundschutzkatalog des BSI – auch wenn ihn viele nicht mögen, weil er so konkrete Fragen stellt – ist da ein bewährtes Hilfsmittel zur Definition der Mindeststandards für die Informationssicherheit, der eine schnelle und pragmatische Umsetzung des ISO-Standards 27001 erlaubt. Man muss das nicht machen. Genauso wenig, wie man sich nicht an Gesetze und Vorschriften halten muss. Man muss dann aber bereit sein, die Konsequenzen zu tragen.
Computerwelt: Es gibt immer mehr rechtliche Anforderungen an die IT, insbesondere was die Datensicherheit betrifft. Wie kann man diesen Anforderungen genüge tun? Welche organisatorischen und technischen Mindestmaßnahmen sind erforderlich und wieviel darüber hinaus wirtschaftlich sinnvoll?
Schellhaas: Ich würde lieber von Informationssicherheit reden – also von der Vertraulichkeit, Verlässlichkeit und Verfügbarkeit der Daten. Die immer gleiche Frage ist, ob es von Nutzen (also wirtschaftlich) ist, dies sicherzustellen und damit nicht nur Strafen vorzubeugen. Die Antwort ist ohne zu zögern „JA“. Die Bedeutung von Information und den zugrunde liegenden Technologien ist zweifelsohne nicht nur akzeptiert, sondern mittlerweile auch wissenschaftlich bewiesen.
Gesetze und Richtlinien setzen sich mit Kontrollen und daraus resultierenden Maßnahmen auseinander, jedoch findet dort die IT nur vereinzelt Niederschlag. In geradezu idealer Weise schließt das COBIT-Modell diese Lücke und kombiniert eine Vielzahl nationaler und internationaler Standards aus den Bereichen Qualität, Sicherheit und Ordnungsmäßigkeit. Das Resultat ist ein durchgängiges Modell, das für sämtliches IT-Ressourcen alle notwendigen organisatorischen und technischen Mindestmaßnahmen in klaren Worten festgelegt.
Computerwelt: Gibt es sinnvolle IT-Sicherheits-Strategien für KMUs? Was muss oder sollte getan werden?
Schellhaas: Für mich gibt es keine spezielle KMU-Sicherheitsstrategie. Die entscheidende Frage lautet: „Wie kalkulieren und kontrollieren die KMUs Ihr Risiko (wenn sie es denn kontrollieren)? Einer risikoorientierten Betrachtungsweise der IT liegt der Gedanke zugrunde, dass die IT jederzeit gewährleisten muss, dass gesetzliche sowie firmeninterne Bestimmungen eingehalten werden und die Weiterführung des Geschäfts nicht gefährdet wird. Das gilt natürlich auch für KMUs. Klar soll hier die Verhältnismäßigkeit gewahrt bleiben.
Neben dem Risikomanagement muss die IT gleichzeitig über Innovationen und konsequente Unterstützung des Business ihren Beitrag zur Leistungssteigerung des gesamten Unternehmens leisten. Und mit neuen Technologien kommen gleichzeitig neue Risiken. Diesen Teufelskreis erleben alle – egal ob Großunternehmen oder KMUs. Das ist ein spannendes Thema. Für KMUs besteht die Kunst darin, mit einer passenden Lösung die Mindestanforderungen zu erfüllen, ohne die Performance der IT kaputt zu machen. Auch dabei hilft das schon erwähnte COBIT-Modell
Computerwelt: Gibt es auch für KMUs sinnvolle Argumente für den Einsatz eines IKS in der IT?
Schellhaas: Wenn die Unternehmen zumindest so groß sind, dass sie jährlich geprüft werden, können sie mit einem internen Kontrollsystems in der IT jederzeit dem zuständigen Wirtschaftsprüfer oder Auditor zeigen, dass die IT auf dem richtigen Weg ist.
Generell heißt ja nicht, dass ein IKS immer gleich viel Aufwand bedeuten muss. Es geht im Kern doch eigentlich nur um die Festlegung von Kontrollzielen und Durchführung von geeigneten Kontrollen, um die Dokumentation der Abweichungen und um die Dokumentation der eingeleiteten und umgesetzten Maßnahmen. Dass die IT nicht gerne dokumentiert, ist bekannt. Dass das aber so bleiben muss (und kann) steht nirgends.
(Holger Schellhaas 2012)
——————————
Weitere Beiträge von Holger Schellhaas auf AGITANO:
– TCI „Security Kompass“ – Social Media aus der Perspektive der IT-Security
– IT-Sicherheit & Hacking – Interview mit Holger Schellhaas und Manfred Scholz (TCI)