Der Zugang zu Informationen für Mitarbeitende, aber auch für Kunden oder Lieferanten soll möglichst einfach und ohne administrative Hürden erfolgen können. Das heisst, die Information soll immer dann verfügbar sein, wenn sie benötigt wird. Neben der Anforderung der Verfügbarkeit sind Integrität und Vertraulichkeit für eine umfassende Informationssicherheit ebenso wichtig. Integrität soll sicherstellen, dass die Information vollständig und unverändert ist. Der Empfänger muss darauf vertrauen können, dass die Information nicht verfälscht wurde oder dass mit ihr verbundene Attribute (Autor, Erstellungsdatum) nicht unerlaubt verändert wurden. Schliesslich ist nicht jede Information für jedermann bestimmt. Mit der Vertraulichkeit sollen Informationen vor einer unbefugten Einsichtnahme oder Weitergabe geschützt werden.
Ungenügendes Niveau
Dass Informationssicherheit nicht die gebührende Aufmerksamkeit geschenkt wird, können wir fast täglich der Presse entnehmen. Meldungen über den Verlust von CD-Roms mit Kundendaten, durch Hacker gestohlene Kredit- und Kundenkartendaten oder über entwendete mobile Geräte mit sensiblen Daten sind beinahe an der Tagesordnung. Weniger publik, dafür im Schadensausmass bedeutend umfangreicher sind unternehmensinterne Ereignisse, die zu Datenverlusten oder Verfälschungen führen, beispielsweise durch fehlende oder unbrauchbare Datensicherungen, mit Viren verseuchte Datenbestände oder Manipulationen durch Mitarbeiter. Die Gründe, die zu einer Zunahme der Ereignisse und der Schadenshöhe führen, können wie folgt zusammengefasst werden:
- Der Mentor im Management fehlt. Oft wird die Verantwortung an die IT abgeschoben, mit dem Resultat, dass Informationssicherheit aus einer technischen Sicht angegangen wird.
- Steigende Komplexität und zunehmende Vernetzung der IT-Systeme machen es schwieriger, einen adäquaten Schutz der Information zu gewährleisten.
- Miniaturisierung der Geräte und vermehrte Nutzung mobiler Geräte wie beispielsweise Smart Phones, Notebooks und USB-Sticks haben zur Folge, dass immer grössere Datenmengen auf kleineren Geräten gespeichert werden können. Verlust, Diebstahl oder Defekte haben ohne entsprechende Sicherheitsvorkehrungen ein grösseres Schadenspotenzial.
- Mangelnde Ausbildung und Sensibilisierung der Mitarbeitenden führen dazu, dass unbekannte und ungesicherte Netzwerke (z.B. WLAN) oder unsichere Informationsquellen (Internet) bedenkenlos genutzt werden.
- Ressourcenknappheit und fehlende Zeit führen in Projekten oft dazu, dass die Informationssicherheit nicht angemessen berücksichtigt wird, beziehungsweise dass deren Priorität während des Projekts laufend zurückgestuft wird.
- IT-Sicherheit wird oft als etwas Statisches betrachtet. Das heisst, wenn Massnahmen zur IT-Sicherheit getroffen wurden, geht man davon aus, dass diese langfristig wirksam sind. Der rasche technologische und organisatorische Wandel erfordert aber eine periodisch wiederkehrende Analyse der Situation.
Sicherheit ist Chefsache
Dass Datenschutz und Datensicherheit ein Thema der obersten Führung sein muss, hat im Wesentlichen zwei Gründe: Erstens ist die Bedeutung der Information für das Unternehmen so wichtig, dass die Nichtverfügbarkeit eine absichtliche oder unabsichtliche Verfälschung der Information weitreichende Konsequenzen haben kann, ja für das Unternehmen sogar existenzbedrohend werden kann. Zweitens haben das revidierte Datenschutzgesetz wie auch das Obligationenrecht den Führungsorganen von Unternehmen eine grössere Verantwortung zugewiesen. Im Datenschutzgesetz wird beispielsweise verlangt, dass Personendaten (Daten von Mitarbeitern oder Kunden) sicher, legal gehalten und nur für den vorbestimmten Zweck benutzt werden dürfen. Weiter müssen Aktualität, Genauigkeit sowie eine sichere Aufbewahrung gewährleistet werden.
