IT Security Management: ITIL zeigt gangbare Wege auf

Als ob man nicht schon genug damit zu tun hätte, alle Unternehmensdaten elektronisch zu speichern, für Backup und Restore zu sorgen gegen Viren, Würmer oder Trojaner und mit den Tücken von Patches, Hotfixes und Updates zu kämpfen. Jetzt soll das alles auch noch standardisiert und dokumentiert werden, um ständig steigenden Sicherheitsanforderungen gerecht zu werden. Muss das sein?

Wahrscheinlich schon, denn was zunächst einmal mehr Arbeit verursacht, hilft IT-Abteilungen mittelfristig, sich so zu strukturieren, dass sie endlich wieder den Wald und nicht mehr nur lauter Bäume sehen - wie das nach übereinstimmender Aussage mehrerer Marktforscher heute überwiegend der Fall ist.

Ausgehend von Großunternehmen hat sich als Richtschnur für die Neustrukturierung die Best-Practice-Sammlung ITIL durchgesetzt. Letztendlich ist sie zwar in weiten Bereichen nicht viel mehr als eine Zusammenfassung dessen, was der gesunde Menschenverstand auch sagen würde. Dass manche Berater und Anbieter versuchen, daraus mit verschraubten Sätzen und unklaren Marketingphrasen wieder ein Buch mit sieben Siegeln und eine Art Geheimwissenschaft zu machen, gehört zu deren Geschäft: Was kompliziert klingt, lässt sich eben immer noch teurer verkaufen.

Nichtsdestotrotz hilft ITIL IT-Verantwortlichen, Vorgehen und Maßnahmen aufeinander abzustimmen, ohne dabei das Gesamtkonzept aus den Augen zu verlieren. Nicht zu unterschätzen ist auch, dass ITIL Begriffe und Methoden definiert, über die dann zwischen IT, Fachabteilungen und Management so gesprochen werden kann, dass man sich auch versteht - gerade auch beim oft emotional diskutierten Thema IT-Sicherheit.

IT Security Management im Rahmen von ITIL umfasst grundlegende Fragen wie die Absicherung von Unternehmensinformationen oder deren Nutzung durch Mitarbeiter, die in verschiedenen Standorten arbeiten und unterschiedliche Zugriffsrechte haben. Auch muss sichergestellt sein, dass gesetzliche Bestimmungen und verschiedene branchen- oder geschäftsspezifische Richtlinien eingehalten werden. Diese sorgen dafür, dass beispielsweise persönliche Mitarbeiterdaten vor Missbrauch geschützt oder Informationen transparent und sicher aufbewahrt werden.

IT-Verantwortliche sind dazu gefordert, ein umfassendes Security Management in Unternehmen zu implementieren. Dazu gehören die Definition von Sicherheitszielen, Richtlinien, Maßnahmen, Prozessen sowie deren Umsetzung. Ziel ist es, Schwachstellen bereits im Vorfeld zu erkennen - und nicht erst, wenn ein Schaden aufgetreten ist.

Eine gut durchdachte Sicherheitsstrategie legt genau fest, was wann in welcher Situation zu tun ist. Sehr effizient ist solch ein IT-Security-Management-System (ISMS), wenn es auf ITIL beruht und Normen wie ISO 20000 und ISO 20001 erfüllt. ZDNet erklärt die Grundzüge und was bei der Planung zu beachten ist.