Sie sind hier: Home » Markt » Interviews

Interview mit Rainer Schellhaas, Security-Experte


COBIT & ITIL für das Riskmanagement in der IT nutzen - IT als Nervensystem zu wichtig, um unkontrolliert zu existieren
IT-Security-Experte Holger Schellhaas über die Notwendigkeit zum Einsatz von etablierten IT-Standards

Holger Schellhaas:
Holger Schellhaas: Einsatz von ITIL gehört für CIOs schon fast zum Alltag.

(24.11.06) - Holger Schellhaas ist IT-Security-Experte aus München und berät Unternehmen beim Umsetzen von IT Governance. Im Vorfeld des Conex-Forums "Compliance & IT Governance" am 24. April 2007 hat Michael Ghezzo mit ihm ein Gespräch über Risikomanagement in der IT und die Potenziale von ITIL und COBIT geführt.

Michael Ghezzo: IT-Governance ist im Moment ein besonders beliebtes Buzzword – Was verbirgt sich dahinter wirklich und was sind die Auswirkungen in der Praxis?
Holger Schellhaas: IT Governance steht für die Steuerbarkeit und Transparenz der IT, also für die Fähigkeit einer IT-Organisation, die erhaltenden und innovativen IT-Investitionen zur Unterstützung der strategischen Unternehmensziele auszurichten. Die neue Herausforderung heißt, sich nicht nur - wie in den vergangenen Jahren um Effiziensteigerung und Kostenkontrolle zu kümmern, sondern den Beitrag der IT zum Unternehmenserfolg auch tatsächlich zu bewerten.
Die Auswirkungen in der Praxis sind vielfältig: Während einige die IT insgesamt als strategischen Wertschöpfer ansehen, fragen andere provokativ "does IT matter?" und implizieren damit, dass IT als "Strom aus der Steckdose" ein austauschbarer Service wird. Wieder andere fordern eine strikte Industrialisierung der IT und damit verbunden die transparente Aufschlüsselung aller IT-Services nach verrechenbaren Standardleistungen. Eines gilt nach Gartner aber in jedem Fall: Nur wenn IT-Verantwortliche auch im Vorstand ihre Nützlichkeit beweisen können, werden sie mittelfristig ihre Posten behalten.

Ghezzo: SOX und Basel II bringen neue Herausforderungen für das IT-Management. Welche Bedeutung bekommt dadurch IT-Sicherheit?
Schellhaas: Weltweit gelten mittlerweile mehr als 25.000 Regulierungen und gesetzliche Auflagen - wie die GDPdU, Basel II, KonTraG (Gesetz zur Kontrolle und Transparenz im Unternehmen), Solvency II, FDA-Compliance oder der Sarbanes-Oxley-Act, welche sich über alle Branchen hinweg massiv auf die IT auswirken. Sei es in der geforderten Transparenz der IT-Prozesse oder der Dokumentationspflicht von Geschäftsabläufen - immer stehen diese Vorschriften im Zusammenhang mit der Reduzierung von Risiken. IT-Sicherheit bekommt so (endlich) eine weit mehr strategische Bedeutung, weil technische Lösungen nicht mehr ohne prozessuale und organisatorische Einbindung etabliert werden.

Ghezzo: Sicherheit ist auch eine Kostenfrage – Wie können IT-Manager Awareness für Sicherheitsanforderungen erzeugen und Investitionen in Sicherheit fundiert argumentieren?
Schellhaas: Die Erfordernisse des Risikomanagements können zum großen Teil nur durch IT-gestützte Lösungen erfüllt werden - die IT wird also wieder einmal als "Kostenverursacher" verdammt werden. Aufklärung tut not und zwar in dem Sinne, die "ordnungspolitischen Fesseln" in Erfolg umzumünzen und als Chance für die IT-Sicherheit darzustellen. Gefragt ist die Kompetenz der IT-Manager und ihre eigene Sensibilität für das Thema "Security Awareness" Die Herausforderung liegt darin, herauszustreichen, dass die IT als Nervensystem zu wichtig ist, um unkontrolliert zu existieren.

Ghezzo: Wie kann ein umfassendes Risk-Managements in der IT aussehen?
Schellhaas: Vor fünf Jahren war das Virenschreiben eine Kunst, die ersten Hacker - so Jewgenij Kaspersky , der berühmte Virenjäger - "waren noch Idealisten". Jetzt haben wir es mit einer kriminellen "Virenindustrie" zu tun - mit der Konsequenz, dass wir lernen müssen, den Umgang mit Risiken zu beherrschen. Ein umfassendes Risk Management heißt, die Risiken in der IT und aufgrund der IT durch das Aufstellen eines angemessenen Risikobudgets zu bewältigen. Im Rahmen diese Budgets ist ein Prozess zu etablieren, in dem die IT-Risiken regelmäßig identifiziert, anhand von Risikokennzahlen auf ihre Geschäftsauswirkungen hin bewertet und in einer Risikomatrix nach Handlungsbedarf klassifiziert werden. Das lässt sich in der Praxis durchaus pragmatisch mit Hilfe strukturierter Templates und standardisierter Verfahren umsetzen.

Ghezzo: Welche Rolle spielen Standards wie COBIT und ITIL dabei?
Schellhaas: Die Notwendigkeit zum Einsatz von etablierten IT-Standards wie COBIT (Control Objectives for Information and related Technology), ITIL (IT Information Library) und ISO 17799 wird sich aufgrund eines noch steigenden Datenmissbrauchs sowie der zunehmenden Regulierungen und Vorschriften verstärken. Bis 2006 werden laut Forrester und Meta Group (jetzt Gartner Group) über 40 Prozent aller IT-Organisationen entsprechende Regelwerke und Prozesse - vor allem zur Risikobetrachtung - eingeführt haben. Die Standards stellen anerkannte Steuerungsziele und Rahmenbedingungen für den Aufbau einer Informationssicherheitsarchitektur bereit.
Durch die dadurch erreichte Verknüpfung von Service- und Sicherheitsmanagement zu einem gemeinsamen Störungsmanagement verpuffen die hohen Investitionskosten nicht mehr ohne echten Nutzen. So wie der Einsatz von ITIL für CIOs schon fast zum Alltag gehört, so wird IT-Sicherheit mit COBIT und ITIL zum Handwerkszeug für Sicherheitsexperten werden. (Conex: ra)


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Interviews

  • Test auf das Down-Syndrom

    Der Theologe und Vorsitzende des Ethikrates, Peter Dabrock, befürwortet die kostenlose Abgabe eines Bluttests zur Früherkennung der Trisomie 21 bei schwangeren Frauen. Angesichts der Rechtslage und im Vergleich zu dem, was schon bezahlt werde, sehe er keinen Grund dafür, weshalb die Gesetzliche Krankenversicherung (GKV) diesen Test auf das Down-Syndrom bei Risikoschwangerschaften nicht bezahlen sollte, sagte Dabrock der Wochenzeitung "Das Parlament" (Montagausgabe). Der Wissenschaftler von der Friedrich-Alexander-Universität Erlangen-Nürnberg geht nicht davon aus, dass mit der kostenlosen Abgabe eines solchen Tests die Zahl der Schwangerschaftsabbrüche stark steigt. Er sagte: "Wir haben jetzt schon eine sehr hohe Zahl an Abbrüchen nach identifizierter Trisomie 21. Die würde vielleicht noch etwas steigen, aber es würde nicht auf ein Vielfaches hochschnellen mit der Neuregelung." Was die Spätabtreibungen betreffe, dürften die Zahlen eher rückläufig sein. Dabrock betonte: "So zu tun, als würde mit dem nichtinvasiven Test ein Damm gebrochen oder eine Grenze überschritten, das trifft einfach nicht zu."

  • Gut für Anwälte, schlecht für Anwender

    Das Bundeskabinett hat einen Gesetzentwurf zum Datenschutz beschlossen. Das geplante Ausführungs- bzw. Anpassungsgesetz soll die ab Mai 2018 geltende EU-Datenschutz-Grundverordnung (DSGVO) in nationales Recht umsetzen. Im Folgenden bewerten und erläutern drei Experten den Gesetzentwurf: Dr. Stefan Brink: Landesbeauftragter für Datenschutz und Informationsfreiheit in Baden-Württemberg; Mitherausgeber eines der führenden Datenschutzkommentare in Deutschland, Jan Philipp Albrecht: Mitglied des Europaparlaments; Berichterstatter des EU-Parlaments für die DSGVO-Gesetzgebungsverfahren, und Tim Wybitul: Partner der Wirtschaftskanzlei Hogan Lovells; JUVE führt ihn als einen der führenden deutschen Rechtsanwälte im Datenschutz; Herausgeber der Zeitschrift für Datenschutz (ZD) und Autor des Praxisleitfadens EU-Datenschutz-Grundverordnung im Unternehmen. Die Fragen stellte Peter Herkenhoff, Corporate Communications Manager bei Hogan Lovells in Düsseldorf.

  • Forderungsmanagement: Aufgabe für die Kommune

    Kirsten Pedd, Präsidentin des Bundesverbands Deutscher Inkasso-Unternehmen (BDIU), kritisiert in einem Interview die schlechte Zahlungsmoral der öffentlichen Hand. Pedd sagt: "Kommunale Forderungen werden zu fast 90 Prozent vollständig und pünktlich beglichen. Die 10 Prozent, bei denen das nicht der Fall ist, bereiten aber Probleme."

  • Missbrauch von Daten

    Im Zusammenhang mit den schwerwiegenden Datenschutzverletzungen insbesondere der letzten beiden Jahren stellen sich bei aller Verschiedenheit der Angriffe doch einige typische Fragen. David Lin von Varonis beantwortet sie.

  • Datenverarbeitung in den USA

    Der Europäische Gerichtshof hat in einem aktuellen Urteil festgestellt, dass das sog. Safe Harbor-Abkommen zwischen der EU und den USA ungültig ist. Das Safe Harbor-Abkommen war die wesentliche Grundlage, die es erlaubte, in der EU erhobene, personenbezogene Daten an Unternehmen in den USA zu transferieren. Dr. Fabian Niemann von der Kanzlei Bird&Bird erklärt in einem kurzen Interview mit artegic, was Unternehmen beachten müssen, die bisher Daten auf Grundlage von Safe Harbor in die USA transferiert haben.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen