Information und Bildungsarbeit von und für die SAP-Community

Ehrlich währt am längsten – auch bei Datenabflüssen!

Währt ehrlich wirklich am längsten? Als Kind war diese Frage noch einfach zu beantworten, aber schon als Jugendlicher griff mancher auch mal zur Notlüge. Auch im Beruf kann die Definition von „richtig“ schwanken: Jeder fünfte IT-Sicherheitsverantwortliche hat laut einer Studie schon Situationen erlebt, in denen die von Datenabflüssen betroffenen Firmen den Vorfall vertuscht haben.
E-3 Magazin
22. Juli 2015
2015 xxx
avatar

Der Abfluss von Datenströmen ist natürlich kein reines IT Problem. Aber CIOs haben aufgrund ihrer Position im Unternehmen die Möglichkeit dafür zu sorgen, dass ein ehrlicher Umgang damit die einzig mögliche Vorgehensweise ist.

Die angesprochene Untersuchung wurde dieses Jahr auf der RSA-Konferenz in den USA durchgeführt. Einige Schlussfolgerungen sind sogar noch überraschender; immerhin arbeitet ein Großteil der über 1000 Befragten für US-amerikanische Firmen.

Im Gegensatz zu den vielen Ländern in Asien und Europa, ist eine Meldepflicht in den USA sehr streng. Das heißt: Die Vertuschung von Datenabflüssen ist schlichtweg illegal!

Trotzdem verschweigen viele Firmen einen Datenabfluss lieber: Der Schaden durch Compliance-Strafen, Bereinigungskosten oder negative Presse ist enorm! Auch Kunden oder Investoren könnten abspringen – vom Aktienkurs ganz zu schweigen.

Riskante Geschäfte

Wenn Cyberkriminelle Ihre Organisation kompromittieren wollen, müssen Sie davon ausgehen, dass sie erfolgreich sind! Als CIO oder Sicherheitsverantwortlicher sollten Sie mindestens eine Kultur der Offenheit fördern.

Die Meldung von Sicherheitsvorfällen oder auch „nur“ Verdachtsmomenten sollte begrüßt werden und nicht negativ behaftet sein. Nur dann besteht überhaupt eine Chance, mögliche Vorfälle frühzeitig entdecken.

Dazu braucht es ein gewisses Rahmenwerk. Der erste Schritt besteht in einer umfassenden Risikoanalyse. Erst danach kann man sich mit der Geschäftsführung zusammenzusetzen.

Dabei geht es primär um die Entscheidung, welches Risiko sie bereit ist zu tragen. Jede Organisation hat hier andere Vorstellungen. Diejenigen, die bereit sind, ein höheres Risiko zu tragen, werden dabei weniger in Informationssicherheit investieren als umgekehrt.

Ist diese Entscheidung gefällt, gilt es, das entsprechende Budget in Werkzeuge zur Risikoverwaltung und -minderung zu investieren. Damit hat die IT-Abteilung gute Voraussetzungen geschaffen, um sich „den Rücken freizuhalten“.

Immerhin sollte es jetzt keinen Grund zum Verschleiern von Datenabflüssen mehr geben. Geschieht dies doch, dann häufig aufgrund von Unsicherheiten, fehlenden Strukturen bzw. dem Fehlen einer risikobasierten Entscheidungsgrundlage.

Leider schulen die wenigsten ihre Mitarbeiter explizit über den gewünschten Verhaltenskodex. In großen Organisationen heißt es oft „learning-by-doing“. In kleinen und mittelgroßen ist selbst dies kaum der Fall. Dies führt dazu, dass in der IT-Abteilung Vorfälle manchmal „versanden“.

Verhaltenskodex als blinder Fleck?

Es ist daher umso wichtiger, explizit einen Verhaltenskodex („code of conduct“) festzulegen. Dieser sollte auch ganz klare Regeln zum Melden von Vorfällen und Verdachtsmomenten, aber auch den Umgang damit enthalten.

Natürlich bedeutet dies einen gewissen Aufwand. Allerdings ist es sinnvoller, den Aufwand vorher zu betreiben. Im Ernstfall weiß dann jeder, wie er sich zu verhalten hat – und die Wahrscheinlichkeit, dass alles glatt läuft, ist deutlich höher als bei panischen Ad-hoc-Entscheidungen im Eifer des Gefechts.

Auch lässt sich jeder Vorfall damit als eine Verbesserungsmöglichkeit und nicht als Versagen begreifen. Es ist eine Möglichkeit zu lernen und sich mit den gewonnenen Erkenntnissen wieder mit der Geschäftsführung zusammenzusetzen.

Sei es, um das eigene Profil zu schärfen bzw. zu stärken – oder um (hoffentlich) über eine Erhöhung des Budgets zu diskutieren. Und als ob das nicht Anreiz genug wäre, gibt es da noch die Datenschutz-Grundverordnung der Europäischen Union. Wenn diese in Kürze in Kraft tritt, haben wir hier ähnlich scharfe Auflagen und Meldepflichten wie in den USA, inklusive sehr empfindlicher Strafen für Zuwiderhandlungen.

Dies sollte also ein weiterer guter Grund sein, sich vorzubereiten und einen risikobasierten Ansatz im Unternehmen einzuführen. Denn mit diesem gesetzlichen Hintergrund währt ehrlich tatsächlich am längsten – und ist der beste Weg, die Sicherheit zu verbessern.

avatar
E-3 Magazin

Information und Bildungsarbeit von und für die SAP-Community.


Schreibe einen Kommentar

Die Arbeit an der SAP-Basis ist entscheidend für die erfolgreiche S/4-Conversion. 

Damit bekommt das sogenannte Competence Center bei den SAP-Bestandskunden strategische Bedeutung. Unhabhängig vom Betriebsmodell eines S/4 Hana sind Themen wie Automatisierung, Monitoring, Security, Application Lifecycle Management und Datenmanagement die Basis für den operativen S/4-Betrieb.

Zum zweiten Mal bereits veranstaltet das E3-Magazin in Salzburg einen Summit für die SAP-Community, um sich über alle Aspekte der S/4-Hana-Basisarbeit umfassend zu informieren.

Veranstaltungsort

Mehr Informationen folgen in Kürze.

Veranstaltungsdatum

Mittwoch, 21. Mai, und
Donnerstag, 22. Mai 2025

Early-Bird-Ticket

Verfügbar bis Freitag, 24. Januar 2025
EUR 390 exkl. USt.

Reguläres Ticket

EUR 590 exkl. USt.

Veranstaltungsort

Hotel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Veranstaltungsdatum

Mittwoch, 5. März, und
Donnerstag, 6. März 2025

Tickets

Reguläres Ticket
EUR 590 exkl. USt
Early-Bird-Ticket

Verfügbar bis 24. Dezember 2024

EUR 390 exkl. USt
Veranstalter ist das E3-Magazin des Verlags B4Bmedia.net AG. Die Vorträge werden von einer Ausstellung ausgewählter SAP-Partner begleitet. Der Ticketpreis beinhaltet den Besuch aller Vorträge des Steampunk und BTP Summit 2025, den Besuch des Ausstellungsbereichs, die Teilnahme an der Abendveranstaltung sowie die Verpflegung während des offiziellen Programms. Das Vortragsprogramm und die Liste der Aussteller und Sponsoren (SAP-Partner) wird zeitnah auf dieser Website veröffentlicht.