Wirtschaftlichkeit

Neben der Wirksamkeit der Sicherheitsmaßnahmen muss die IT-Abteilung auch nachweisen, dass diese angemessen sind. So gilt es, Aufwendungen für sicherheitsspezifische Technik, Softwarelizenzen oder Personal gegenüber der Geschäftsführung und den Fachabteilungen transparent zu machen. Existiert eine Kostenstellenrechnung, muss die IT-Sicherheit dort entsprechend integriert werden.

Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBs), Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU), Sarbanes-Oxley Act (SOX), Bundesdatenschutzgesetz (BDSG), Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) – die Liste von Gesetzen und Regulierungen mit direkten oder indirekten Auswirkungen auf die Firmen-IT wird von Jahr zu Jahr länger. Trotz unterschiedlicher Formulierung bleibt eine Anforderung gleich: Die Pflicht, für einen fundierten IT-Grundschutz zu sorgen. Darüber hinaus sind verschiedene Ausprägungen zu beachten – etwa die Pflicht zur Archivierung von E-Mails (GDPdU), die Implementierung von Kontrollmechanismen (SOX) oder das Führen von Verfahrensverzeichnissen (BDSG).

In den hier beschriebenen Teilbereichen sind jeweils nur wesentliche Beispiele für sinnvolle IT-Sicherheitsmaßnahmen aufgeführt. Die derzeit detaillierteste Darstellung von Methoden, Prozessen und Maßnahmen im Hinblick auf IT-Security bietet das IT-Grundschutz-Handbuch (IT-GSHB) des Bundesamts für Sicherheit in der Informationstechnik (BSI). Hilfreich sind die themenspezifisch geordneten Ausführungen sowohl zur Implementierung von Maßnahmen als auch zur regelmäßigen Erfolgskontrolle. Infolge seiner Umstrukturierung ist das aktuelle IT-GSHB nun vollständig kompatibel zu der 2005 verabschiedeten internationalen Norm „ISO/IEC 27001:2005“.