Information Technology Reference
In-Depth Information
4.1
Security by …
In der Betriebswirtschaftslehre wird eine ganze Reihe von Management-Konzepten
zum Beispiel
Management by objectives
, bei dem Mitarbeiter und Chefs gemeinsam
Ziele vereinbaren,
Management by exception
, bei dem Mitarbeiter in
Normalsituationen und Routinefällen selbstständig entscheiden und Vorgesetzte
nur in Ausnahmefällen eingreifen oder
Management by delegation
, bei dem
Das Konzept, nach der ein Unternehmen oder eine Behörde in Sachen Sicherheit
vorgeht, ist sehr individuell und kann sogar von Abteilung zu Abteilung
unterschiedlich sein. In der einen Abteilung gibt es klare Prozesse und Konzepte,
während in der anderen Sicherheit weitgehend dem Zufall überlassen bleibt. Diese
beiden Extreme werden in den beiden nächsten Abschnitten beschrieben.
4.1.1 Security by tradition
Gerade kleinere und mittlere Unternehmen und Behörden sind weit entfernt von
dem Idealbild eines Information Security Management Systems (ISMS) mit einem
funktionierenden Risiko-Management-Prozess, wie man es beispielsweise gemäß
ISO 27001 umsetzen kann. Wenn es überhaupt Konzepte zu Datensicherung,
Informationssicherheit oder ähnlichem gibt, so hinken diese regelmäßig den
tatsächlichen Gegebenheiten hinterher. Die Konzepte dienen nicht als
Planungsinstrument für die Realität, sondern werden bestenfalls nachträglich an
die Realität angepasst. In vielen Fällen muss das nicht einmal heißen, dass die IT-
Systeme und die Prozesse nicht sicher wären. Das Zustandekommen der
Sicherheitseinstellungen der Server, der Prozesse usw. ist aber weder
systematisiert noch dokumentiert.
Security by tradition
entsteht. Aber auch, wenn Sicherheitsmaßnahmen nicht
strukturiert geplant werden, so bedeutet das nicht, dass es keine gibt. Auch ohne
Konzept und formalisierten Prozess kommt für jeden Windows-Administrator
irgendwann die Frage, wie er die Passwortrichtlinien festlegen will oder welche
Protokolldaten gespeichert werden sollen. Selbst, wenn er für die Passwörter keine
Mindeststandards festlegt und keinerlei Systemereignisse mitprotokolliert, so ist
das eine Sicherheitsentscheidung, die getroffen wird: Toleriert er die damit
Übersicht in: Management-by-Konzepte: Akademische Schriftenreihe; Isabell Preisler,
2008; GRIN Verlag; ISBN: 9783640142149; Seite 5
81
