![\"\"](\"https:\/\/www.m-q.ch\/wp-content\/uploads\/2021\/02\/Kritische-Erfolgsfaktoren-fuer-InformationssicherheitsProgramme.jpg\")
<\/p>\n<\/p>\n
<\/p>\n
<\/p>\n
<\/p>\n
\u00dc<\/strong><\/em>ber die vergangenen zwei bis drei Jahre haben die rasant zunehmenden Cyberbedrohungen ganze Unternehmensfunktionen, Wirtschaftssektoren und sogar L\u00e4nder in Alarmbereitschaft versetzt:<\/p>\n Nachholbedarf wird erkannt<\/strong><\/p>\n <\/p>\n Organisationen, deren Bewusstsein f\u00fcr die Cyberbedrohung sensibilisiert wurde, erkennen oft, dass sie signifikanten Nachholbedarf haben und dass punktuelle Nachbesserungen nicht ausreichen, um vergangene Vers\u00e4umnisse aufzuholen. In diesen F\u00e4llen werden deshalb aufwendige Informationssicherheits-Programme lanciert, die mit einem Portfolio von Projekten \u00fcber Jahre hinweg Sicherheitsl\u00fccken nachhaltig und auf breiter Front beheben sollen. Obgleich solche Programme oft der richtige Schritt sind, ist ihr Erfolg sehr von der Erfahrung der Programmleitung im Umgang mit Ihnen abh\u00e4ngig.<\/p>\n Voraussetzungen f\u00fcr den Erfolg<\/strong><\/p>\n <\/p>\n Dieser Artikel kann etablierte Managementmethoden wie PRINCE2, MSP (Managing Successful Programs), MoP (Management of Portfolios) oder die PMI Standards nicht ersetzen, sondern soll sie nur im Hinblick auf Besonderheiten bei Informationssicherheits-Programmen erg\u00e4nzen. F\u00fcr solche Programme zeigt die Erfahrung, dass neben dem effektiven Einsatz etablierter Managementmethoden insbesondere f\u00fcnf Eigenschaften der Programmleitung essenziell wichtig f\u00fcr den Programmerfolg sind:<\/p>\n <\/p>\n Diese F\u00fchrungseigenschaften sind essenziell wichtig, weil \u00abInformationssicherheit\u00bb und \u00abRisiko\u00bb sehr breite Interessengruppen (Stakeholder) betreffen, die Konzepte aber gleichzeitig recht abstrakt und f\u00fcr viele Menschen \u00abungreifbar\u00bb sind. Das F\u00fchrungsteam eines Sicherheits-Programms muss daher technologisch sattelfest sein und Management- und Kommunikationsf\u00e4higkeiten besitzen, um alle Interessengruppen effektiv einzubeziehen und zu leiten.<\/p>\n Die f\u00fcnf Erfolgsfaktoren<\/strong><\/p>\n <\/p>\n Strategisches Denken ist wichtig, da Sicherheits-Programme oft mit einem generellen Problembewusstsein oder einer Vision beginnen. Diese Vision muss in eine Strategie umgesetzt werden, die klar darlegt, was die Sicherheitsschwachstellen und die damit verbundenen Risiken sind, welche L\u00f6sung erforderlich ist, welches die Erfolgskriterien und wie hoch die erwarteten Kosten sind. Eine solche Strategie ist die Voraussetzung, um ein Budget gesprochen zu bekommen. Die Strategie muss ferner fortlaufend aktualisiert werden, um die Kontinuit\u00e4t des Programms zu gew\u00e4hrleisten. Kontinuit\u00e4t ist eine wichtige Herausforderung, da Sicherheits-Programme oft \u00fcber mehrere Jahre hinweg laufen und im heutigen Kostenumfeld regelm\u00e4ssig gegen Budgetk\u00fcrzungen gerechtfertigt werden m\u00fcssen.<\/p>\n <\/p>\n Technische Expertise<\/strong> <\/em>in Sicherheitsund Risikobelangen ist erforderlich, da der Erfolg eines Sicherheits-Programms nicht darin besteht, einzelne Tools oder Technologien zu installieren. Vielmehr besteht der Erfolg darin, Sicherheitsrisiken nachhaltig zu reduzieren. Hierzu muss zwischen alternativen Technologien eine Risiko-intelligente Wahl getroffen werden. Technologien m\u00fcssen korrekt konfiguriert werden und sie m\u00fcssen in Prozesse eingebettet werden, die ihre Effektivit\u00e4t nachhaltig sicherstellen. Da es in der Praxis keine 100%ige Sicherheit gibt, muss die Programmleitung kontinuierlich Alternativen abw\u00e4gen und mit den diversen Interessengruppen optimale Entscheide herbeif\u00fchren \u2013 immer unter Ber\u00fccksichtigung der erreichbaren Risikoreduktion, der verbleibenden Restrisiken und der anfallenden Kosten- und Zeitaufwendungen. Hierf\u00fcr ist signifikantes technisches Sachverst\u00e4ndnis erforderlich.<\/p>\n <\/p>\n Prozess- und organisatorisches Denken<\/strong><\/em> sind unabdingbar, weil Sicherheitsmassnahmen kontinuierlich gewartet werden m\u00fcssen, damit sie effektiv Risiken reduzieren. Zum Beispiel ist ein \u00abIntrusion Detection System\u00bb von wenig Nutzen, wenn dessen Alarme nicht \u00fcberwacht werden und die Regeln, die zur Erkennung von Attacken eingesetzt werden, nicht gewartet werden. Organisatorisches Denken ist wichtig, weil Sicherheitstechnologien oft global eingef\u00fchrt werden und eine effektive L\u00f6sung die Anforderungen einzelner Geografien oder Divisionen ber\u00fccksichtigen muss, wie z.B. Landesrecht oder die Autonomie einzelner Divisionen oder Inkompatibilit\u00e4ten mit etablierten Systemen.<\/p>\n <\/p>\n Starke Governance<\/strong><\/em> und ausgepr\u00e4gte Kommunikationsf\u00e4higkeit werden ben\u00f6tigt, weil Sicherheit viele Interessengruppen innerhalb einer Organisation betrifft. Dies umfasst diverse IT-Abteilungen, Sicherheitsund Risikoverantwortliche, Audit, Business-Divisionen (deren Daten betroffen sind und die eventuell auch als Sponsor agieren), Betrugsermittlung, die Rechtsabteilung, und Datenschutzbeauftragte. Um mit diesen Interessensgruppen die oben beschriebenen Abw\u00e4gungen bzgl. alternativer Technologien, Konfigurationen oder Prozessanbindungen zu treffen, ben\u00f6tigt es effektive Governance-Strukturen und eine Programmleitung, die technische Sachverhalte umfassend und allgemein verst\u00e4ndlich darlegen kann, um so Entscheidungen herbeizuf\u00fchren. Fehlt diese Governance, so bleiben Programme angreifbar, wenn individuelle Interessengruppen mit Entscheidungen nicht einverstanden sind. Obgleich dieses Problem nicht spezifisch f\u00fcr Sicherheits-Programme ist, ist es dort wegen der vielen Interessengruppen besonders ausgepr\u00e4gt.<\/p>\n <\/p>\n Absolute Integrit\u00e4t<\/strong><\/em> ist eine Pflichtvoraussetzung f\u00fcr die Programmleitung, da sie durch ihr strategisches Arbeiten, die technische Expertise und die Kommunikation mit diversen Interessengruppen sehr viele Entscheidungen beeinflussen kann. Die Programmleitung muss daher apolitisch sein und jederzeit das Ziel verfolgen, das zu tun, was im besten Interesse der Organisation ist.<\/p>\n Fazit: Einsatz bew\u00e4hrter Managementmethoden<\/strong><\/p>\n <\/p>\n Informationssicherheits-Programme werden immer h\u00e4ufiger gestartet, um mit eskalierenden Cyberbedrohungen Schritt zu halten. Wie bei allen Programmen ist es wichtig, bew\u00e4hrte Managementmethoden wie PRINCE2, MSP oder MoP einzusetzen. Sicherheits-Programme sind aber in gewisser Weise einzigartig, da \u00abInformationssicherheit\u00bb und \u00abRisiko\u00bb fast jedermann in einer Organisation betreffen und dennoch abstrakt und schwer fassbar sind. Dies fordert Programmleitungen in besonderem Masse, insbesondere im Hinblick auf die f\u00fcnf oben genannten Erfolgsfaktoren.<\/p>\n","protected":false},"excerpt":{"rendered":" \u00dcber die vergangenen zwei bis drei Jahre haben die rasant zunehmenden Cyberbedrohungen ganze Unternehmensfunktionen, Wirtschaftssektoren und sogar L\u00e4nder in Alarmbereitschaft versetzt: Vor vier Jahren sprach kaum ein CFO\/Finanzchef von Cyberrisiken; heute werden sie von CFOs\/ Finanzchefs regelm\u00e4ssig als eine der beunruhigendsten Bedrohungen genannt1 . Vor zwei Jahren war Cybersecurity nicht einmal eine […]<\/p>\n","protected":false},"author":66,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[4],"tags":[4800],"class_list":["post-12493","post","type-post","status-publish","format-standard","hentry","category-risikomanagement","tag-11-2014"],"acf":[],"yoast_head":"\n\n
\n