Standards zur Einführung

Standards zur Einführung

Standards zur Einführung

Was bringen Standards?

Der Einsatz von IT in Unternehmen birgt Risiken, die im Rahmen eines IT-Risikomanagements auf ein angemessenes Niveau reduziert werden sollten. Dabei kommt es insbesondere darauf an, die Risiken umfassend zu ermitteln und die Schutzmechanismen aus wirtschaftlichen Gründen nicht aufwendiger zu gestalten, als es das zulässige Risiko verlangt. Die Auswahl und die Anwendung angemessener IT-Sicherheitsstandards ist ein Teil des IT-Sicherheitsmanagements.

Die Etablierung eines umfassenden IT-Sicherheitsmanagements ist eine anspruchsvolle Aufgabe. Hierbei können Planungsfehler entstehen, die zu ineffektiven und vor allem ineffezienten Maßnahmen führen können. Selbst entwickelte Vorgehensweisen sind in der Regel teuer in der Umsetzung und entsprechen erfahrungsgemäß häufig nicht dem Stand der Technik. Hier ist es sinnvoll, auf bewährte Vorgehensweisen, die in Standards festgehalten sind, zurückzugreifen.Standards können helfen, die sicherheitsrelevanten IT-Prozesse zum Vorteil des Unternehmens, der Kunden, der eigenen Produkte sowie der Mitarbeiter zu verbessern. Sie bieten Hilfestellung bei der Entwicklung von generischen Maßnahmen auf Management-Ebene bis zu detaillierten technischen Implementierungen an. Sie liefern Methoden für ein leistungsfähiges IT-Sicherheitsmanagement oder definieren die IT-Sicherheit von ausgewiesenen Produkten. Sie können sowohl eigenständig als auch methodisch eingebettet in ein anderes System fortlaufend betrieben werden.

Wesentliche Ziele beim Einsatz von Standards sind in Tabelle 1 zusammengefasst:

 Kostensenkung
  • Nutzung vorhandener und praxiserprobter Vorgehensmodelle
  • Methodische Vereinheitlichung und Nachvollziehbarkeit
  • Ressourceneinsparung durch Kontinuität und einheitliche Qualifikation
  • Interoperabilität
Einführung eines angemessenen Sicherheitsniveau
  • Orientierung am Stand der Technik und Wissenschaft
  • Gewährleistung der Aktualität
  • Verbesserung des Sicherheitsniveaus durch die Notwendigkeit der zyklischen Bewertung
 Wettbewerbsvorteile
  • Zertifizierung des Unternehmens sowie von Produkten
  • Nachweisfähigkeit bei öffentlichen und privatwirtschaftlichen Vergabeverfahren
  • Verbesserung des Unternehmensimage
  • Stärkung der Rechtssicherheit

Tabelle 1: Ziele beim Einsatz von Standards

Nutzer und Nutzen von Standards

Das folgende Bild zeigt die Zuordnung der Rollen aus der Perspektive der Anwender, ergänzt um die Sicht auf die Anbieter von Diensten und von Produkten im IT-Umfeld. Auch für die beiden letztgenannten ist eine ganze Reihe von Sicherheitsstandards maßgeblich, da die Anbieter neben den für sie selbst geltenden auch die für Kunden relevanten IT-Sicherheitsstandards als Anforderungen an Dienste und Produkte beachten müssen.
Bei den dargestellten Rollen kann keine scharfe Trennung zwischen den Blöcken Management, Prozesse und Technik vorgenommen werden. Vielfach finden sich daher Rollen wieder, die für zwei oder drei der genannten Blöcke gelten.