Die starke Vernetzung der Geschäftsprozesse führt in der Praxis zu einer physikalischen Vernetzung der einzelnen IT-Systeme. Zum Teil werden Geschäftsprozesse über die Grenzen einer Organisation oder Firma hinweg abgewickelt. Beispiele hierfür sind das EDIFACT-Verfahren, Electronic Banking, eMail oder Business-to-Business Prozesse via Internet. Mit der Öffnung der Grenzen der elektronischen Kommunikation über den Bereich des eigenen Unternehmens hinweg, steigt aber auch der Schutzbedarf der Organisation stark an.

Da fremde IT-Landschaften auch für die eigenen IT-Administratoren nicht unbedingt einsehbar sind, kann die Qualität der dort implementierten Schutzmaßnahmen nicht beurteilt werden. Das Unternehmen muss also selbst für einen so hohen Schutz sorgen, dass interne und externe Gefährdungen für Daten und Geschäftsprozesse ausgeschlossen sind.

Um die Sicherheit der internen Systeme zu gewährleisten, können IT-Audits bzw. Policy Controllings durchgeführt werden, die die Schwachstellen der IT auf Grund fest definierter Regelwerke beurteilen. Diese Regelwerke sind das Grundschutzhandbuch des "Bundesamtes für Sicherheit in der Informationstechnik" (BSI) und die „IT Infrastructure Library“ (ITIL) des "Office of Government Commerce" (OGC). Diese Regelwerke bilden in Kombination eine umfassende Sammlung von Sicherheitsdefinitionen und Empfehlungen, die die Sicherheit der IT-Komponenten stark verbessern. Allerdings sind diese Regelwerke so umfangreich, dass vollumfängliche Lösungen in der Regel nicht immer praktikabel sind. Wir haben deshalb die wichtigsten Ansätze dieser Regelwerke zusammengefasst, mit dessen Hilfe ein IT-Audit in einem überschaubaren Zeitrahmen möglich ist. Als Ergebnis des Audits werden Maßnahmen genannt, die direkt von der internen Administration oder von externen Dienstleistern umgesetzt werden können. Meist handelt es sich dabei um eine Kombination von organisatorischen Maßnahmen sowie Hard- und Software-Produkten.

Um eine kontinuierliche Sensibilisierung der Anwender und der IT-Administratoren zu erreichen, sollte das Audit in regelmäßigen Abständen wiederholt werden. Nur so wird Sicherheit zu einem täglichen Bestandteil des IT-Betriebes. In der Regel ist der Aufwand bei Wiederholungs-Audits sehr viel geringer und kalkulierbarer, als ein eventueller Schadensfall!

Erfahrung als Vorsprung nützen!