Modell zielführender Planung, Priorisierung, Implementierung und Weiterentwicklung von Informationssicherheitsmaßnahmen

Master Studiengang Information Security

Dipl.-Ing. Peter Schönegger, BSc

Betreuer: FH-Prof. Dipl.-Ing. Herfried Geyer

Ausgangslage

Erfahrungen im europäischen Unternehmensalltag waren der Anlass für die Analyse von allen im Informationssicherheitsmanagement beteiligten Stakeholdern und Einflussfaktoren. Unternehmen fallen trotz des erheblichen Aufwands für auf Best-Practices basierende und teils zertifizierte Informationssicherheit nach wie vor abwehr- und adressierbaren Informationssicherheitsrisiken zum Opfer.

Die Auswirkungen von Sicherheitsvorfällen auf Geschäftsabläufe und den Unternehmenserfolg erhöhen sich kontinuierlich aufgrund von IT abhängigen Prozessen. Aus diesem Grund betreiben Unternehmen das Management von Informationssicherheitsrisiken und bilden Sicherheitsmaßnahmen unter Verwendung der anerkannten Best-Practices und Standards ab. Da jedoch in vielen Branchen nach wie vor Informationssicherheitsvorfälle mit teils gravierenden Auswirkungen stattfinden, müssen die Probleme in der Umsetzung bzw. dem Betrieb der Maßnahmen bei Abstimmung, Koordination und Kontrolle liegen.

Ziel

Für die Analyse von Problemen bei der Umsetzung von Informationssicherheitsmaßnahmen in Unternehmen wurde ein Modell mit Ebenen erstellt, in dem Gaps zwischen und innerhalb dieser dargestellt werden. Die Einführung der zusätzlichen „organisatorisch taktischen/strategischen Steuerungsebene“ ermöglicht, Lösungsvorschläge für eine wirkungsvollere Informationssicherheit aufzuzeigen.

Eine Studie mit qualifizierten Entscheidungsträgern der unterschiedlichen Branchenbereiche in Österreich evaluiert den Ausprägungsgrad von Standard-Endgeräte-Sicherheitsmaßnahmen für die Verhinderung von erfolgreicher Schadsoftware-Zustellung, -Ausführung und -Verwendung.

Ergebnis

Die Studienergebnisse zeigen deutlich, dass unabhängig von Branchenbereich und Unternehmensgröße die beschriebenen Probleme beim ganzheitlichen Sicherheitsmanagement mit einem jedoch unerwartet hohen Umsetzungsgrad von einzelnen technischen Sicherheitsmaßnahmen vorliegen.