Security

Cyber-Security und die Verantwortlichkeiten

Sicherheit kann nur im Team gewährleistet werden. Je nach Rolle und Position haben IT-Security-Aspekte eine andere Bedeutung und müssen zu einer besseren Absicherung des Unternehmens führen.

Alexander van der Steeg
Alexander van der Steeg Veröffentlicht am 25.04.2023

✅ Quo Vadis: IT-Sicherheit im Jahr 2023

Laut dem Bitkom ist die Sicherheit stark bedroht und der Großteil der Wirtschaft von Angriffen, indirekten Szenarien und dauerhaften Gefahren betroffen.

In reinen Zahlen aus einer großen Umfrage des Bitkom aus dem Jahre 2021 bedeutet, dass 80-90% Prozent der Unternehmen direkten Gefahren ausgesetzt sind.

Quelle: https://www.bitkom.org/Kurzpositionen/Cybersicherheit-Sicherheitstechnologien

Die gestiegenen Schadenssummen im letzten Jahr 2022 und auch im aktuellen Jahr sind ein Beleg dafür, dass dies keine Fehleinschätzung ist.

Was sind somit zentrale Kern-Fragen:

  • Wie kann das Unternehmen dauerhaft mit hoher Qualität geschützt werden?
  • Wie kann der Geschäftsbetrieb ohne hohe Risiken betreiben?
  • Welche Maßnahmen sind kurzfristig, mittelfristig und langfristig umsetzbar?
  • Welche Abteilungen müssen in die Sicherheitsplan-Konzeption eingebunden werden?

💡 Inventarisierung leicht gemacht

Kombiniert Hardware, Lizenzen, Verträge, Bestellungen und vieles mehr in einem System.

🎭 Rollen und Positionen im Kontext der IT-Sicherheit

Die IT-Sicherheit ist ein sehr komplexes Thema und wird über die verschiedenen Rollen und Positionen im Unternehmen sehr differenziert bewertet.

Welche Rollen spielen bei der Betrachtung, Bewertung und Analyse der Cybersicherheit eine Rolle:

  • Sicherheitsverantwortliche
    Konzeption und Durchführung sind primäre Kriterien der Rolle. Personen, die Kenntnisse über IT-Systeme oder aktuelle Technik-Trends haben oder im Rahmen des Unternehmens die Prozesse sehr gut kennen, bieten sich dafür an.

  • Sicherheitsbefohlene
    Alle restlichen Personen halten sich weisungsgebunden und werteorientiert an die Regelungen und führen diese nach bestem Wissen und Gewissen aus.

Beide Rollen haben stark unterschiedliche Motivationen, die sich zusätzlich noch durch die Position im Unternehmen verändern.

Folgende generellen Positionen sind daher von Interesse:

  • Geschäftsführung
    Primäre Ziele sind die Gewährleistung des Geschäftsbetriebs auf allen Ebenen. Das Zusammenspiel der Abteilungen, die Einhaltung der zentralen KPIs und verschiedene operative Tätigkeiten obliegen diesem Bereich.

  • Abteilungsleiter
    Je nach Bereich muss die Abteilung Ihre zentralen Aufgaben erfüllen und dabei das Unternehmen, dessen Wettbewerbsfähigkeit und das Zusammenspiel zwischen den Abteilungen funktionieren.
    Der Abteilungsleiter hat hierbei die Kontroll- und Verwaltungsaufgabe diese Aspekte im Blick zu haben und dabei die Kernziele des Unternehmens zu unterstützen.

  • IT-Mitarbeiter
    Durch die immense Bedeutung der Digitalisierung in quasi jedem Geschäftsprozess haben die IT-Mitarbeiter nochmals eine gesonderte Rolle. Die Einhaltung von technischen Standards, die Gewährleistung von operativen Themen und die Durchführung von IT-Tagesaufgaben obliegt den IT-Kollegen.

  • (Alle) Mitarbeiter
    Die Umsetzung der Vorgaben der Abteilungsleiter, der Unternehmenszentrale oder anderen Leitlinien ist das primäre Ziel aller Mitarbeiter.

🎙 Podcast "The World of IT-Security"

Die suresecure GmbH aus Düsseldorf hatte CTO Alexander van der Steeg zum Gespräch in Ihren Podcast "The World of IT-Security" eingeladen. Thema war "Der Sockel des Schutzes: Assetmanagement als Grundlage für eine effektive Informationssicherheit" und welchen Einfluss IT-Asset-Management auf die IT-Security in der heutigen Zeit hat.

Auf allen gängigen Podcast Plattformen könnt Ihr diese Folge anhören:

Vielen Dank an die suresecure GmbH, speziell an Philipp Lessig und Annika Gamera, hierbei für die Möglichkeit über das wichtige Thema sprechen zu können und einen interessanten Austausch für die breite Masse anbieten zu können.

💣 Verantwortlichkeit je Rolle und Position

In diesem Spannungsfeld ergeben sich automatisch Unterschiede in der Wahrnehmung der Verantwortlichkeiten. Per se ist erstmal jeder Mitarbeiter Teil des Sicherheitskonzeptes und muss Qualifizierungsmaßnahmen durchführen und sich über die aktuellen Standards informieren. Das Einfallstor Nummer 1 ist immer noch der Mitarbeiter selbst und nicht unbedingt die IT-Infrastruktur.

Die beiden zentralen Rollen waren: Sicherheitsverantwortlicher und Sicherheitsbefohlener.

✅ Was sind die Aufgaben des Sicherheitsverantwortlichen?

Die zentralen Aufgaben sind:

  • Beratung der Geschäftsführung im Rahmen des IT-Gesamtkonzepts
  • Definition eines Standard-Katalogs für den IT-Schutz des Unternehmens
  • Ausarbeitung und Aktualisierung aller Schutz-Maßnahmen für ein hohes zukünftiges Sicherheitsniveau
  • Berücksichtigung aller Beteiligter innerhalb und außerhalb der betroffenen Unternehmensprozesse zur Erhöhung des allgemeinen Sicherheitsniveaus
  • Definition eines Notfallplans und der Kontrolle und Durchführung von Notfallplänen

Zusammengefasst: In der Rolle als Sicherheitsverantwortlicher muss eine hohe aktive Gestaltung geschehen!

✅ Was sind Aufgaben der Sicherheitsbefohlenen?

Die zentralen Aufgaben sind:

  • Einhaltung von zentralen Vorgaben und Regeln zum Schutze des eigenen Unternehmens
  • Förderung der Zusammenarbeit mit anderen Abteilungen und den Sicherheitsverantwortlichen in allen Belangen der IT-Sicherheit
  • Eigene Motivation zwecks Wissensverbesserung im Bereich der IT-Sicherheit

Zusammengefasst: In der Rolle als Sicherheitsbefohlener muss sehr viel auf Weisung und der Einhaltung von Regeln geachtet werden!

😨 Wie sieht das Spannungsfeld für die Positionen aus?

Anhand von wenigen Beispielen kann man nun aufzeigen, welche Hürden und Probleme aufkommen können:

Meist ist die Geschäftsführung kein aktiver Gestalter, sondern hält sich im Rahmen der Strategie an die Vorgaben und Regeln. Die Abteilungsleiter müssen wesentlich stärker an der Umsetzung mitarbeiten, damit die Vorgaben für die eigenen Mitarbeiter funktionieren und eingehalten werden können.

IT-Mitarbeiter müssen die Regeln einhalten, durchsetzen und benötigen zudem eine eigene hohe Motivation bei diesem Thema. Dies liegt oft daran, dass innerhalb des Unternehmens die (restlichen) Mitarbeiter kein großes Interesse an diesem Thema haben.

👍 Welche Bedeutung haben Informationen für die IT-Sicherheit?

Ohne Daten geht in der heutigen Zeit schlicht gar nichts mehr. Wesentliche Technologien funktionieren nur, da ein ständiger Datenaustausch zwischen Systemen geschieht und weil Unternehmen miteinander durch diesen Austausch Geld verdienen.

Ebenso ist der Zugang zu Informationen ein wichtiges Merkmal, ob ein Unternehmen ein gutes Sicherheitsniveau erreichen kann:

  • Kenne ich die IT-Hardware in meinem Unternehmen?
  • Welche Software und Lizenzen sind in Nutzung
  • Kann die IT auf Historien-Informationen jederzeit zugreifen?

Die wenigen anschaulichen Beispiele belegen, dass mit Daten sehr viele tagtäglichen Arbeiten optimiert werden können. Außerdem lassen sich mittels dieser hochwertigen Daten genauere Aussagen zum aktuellen Zustand der Sicherheitslage bei IT-Hardware, Anlagen, Verträgen, Software und mehr durchführen.

📃 Fazit

Mit guten Informationen steht und fällt das Thema Sicherheit in der gesamten Breite. Hat man gute Informationen bei kritischen Vorfällen zur Hand oder nicht? - Wie können Informationen aus verschiedenen Bereichen zusammen helfen die Zusammenarbeit in solchen Fällen zu optimieren?

Eine Inventarverwaltung kann in diesem Prozess als unterstützendes Tool helfen und die Blockaden abbauen und nützliche Daten liefern!

Neben den Daten ist ebenso die Verantwortlichkeit im gesamten Cyber-Security Bereich extrem wichtig. Welche Person kümmert sich um die Konzeption und welche Personen müssen im Unternehmen die Regeln und Vorgaben einhalten?

Verantwortlichkeit klärt die Zuständigkeiten und hilft den Personen den Fokus klar zu behalten.

Alexander van der Steeg
Alexander van der Steeg Autor

CTO

Herr van der Steeg ist bei der EntekSystems als Chief Technology Officer für alle Belange der Produktentwicklung und technischen Konzeption verantwortlich.

Inventory360 jetzt kostenlos testen

Kombiniert Hardware, Lizenzen, Verträge, Bestellungen und vieles mehr in einem System.

Mehr erfahren

Weitere Artikel und Beiträge

16.04.2024 Welche Mehrwerte bietet eine Inventarverwaltung für das Gesundheitswesen?

Eine Inventarverwaltung kann gerade in Kliniken und Arztpraxen wegen dem Mix aus medizinischen Geräten und IT-Assets zu besseren Standards und Prozessen führen. Erfahren Sie mehr welche weiteren Mehrwerte hierbei noch zu bieten sind.

02.04.2024 Zukünftige Herausforderungen für das IT Asset Management

Neue Herausforderungen für Unternehmen und deren IT werden auch das IT Asset Management fordern. Verschärfter Umweltschutz, erhöhte Cybersicherheit und eine noch stärkere Transformation werden auch das Asset Management verändern.

19.03.2024 Das Recht auf Reparatur: Eine Notwendigkeit für eine nachhaltige Zukunft

Nachhaltigkeit schützt nicht nur unsere Umwelt, sondern kann auch Kosten sparen und die Verfügbarkeit von Geräten erhöhen. Damit dies gut gelingen kann, sollten Sie auf eine Inventarverwaltung setzen, um die Vorteile aus dem "Recht auf Reparatur" optimal zu nutzen.