Österreichs KMUs fehlt noch das Security-Bewusstsein

Wozu im IT-Bereich zertifizieren? Sinn und Nutzen der ISO-Zertifizierung? Brauchen die Zertifizierung nur große Unternehmen oder macht es für KMU (Klein- und Mittelbetriebe) auch Sinn? Wie sieht die Kosten-Nutzen-Relation aus? Welche Faktoren spielen eine Rolle, um die ISO-Zertifizierung durchzuführen? Mit oder ohne Zertifikat, Security erfordert auf alle Fälle eine genau Durchleuchtung und Absicherung der Prozesse - darüber waren sich alle Teilnehmer einig.

ISO Normen gibt es schon lange. Weniger bekannt ist, dass auch im IT-Bereich ISO Normen vergeben werden. Allerdings sind die Standards noch sehr jung. ISO 27001 für Informationssicherheit gibt es seit Herbst 2005, ISO 20000 für IT-Service-Management folgte Anfang 2006. Die Zahl der nach ISO 27001 zertifizierten Unternehmen ist mit 17 in ganz Österreich noch relativ gering. Spitzenreiter ist Japan mit 2.317 zertifizierten Unternehmen, vor Großbritannien (363) und Indien (347). Aber auch Deutschland, Ungarn, Niederlande oder Tschechien liegen noch vor Österreich (vgl. Grafik 1). Bis dato tendieren vor allem große Unternehmen dazu, sich zertifizieren zu lassen. Für ISO 20000 gibt es noch gar keine weltweiten Statistiken. Hierzulande gibt es erst zwei zertifizierte Unternehmen nach ISO 20000: Siemens IT Solutions and Services sowie Logic4BIZ. Langsam beginnt die IT-ISO Zertifizierung auch in Österreich zu greifen: 23 Unternehmen sind laut CIS derzeit entweder in der Angebots- oder bereits in der Zertifizierungsphase.

Gemäß einer Studie des Frauenhofer Instituts bringt die Normierung generell Vorteile: Überall wo in einer Volkswirtschaft standardisiert und genormt wird, wächst die Wirtschaft ganz wesentlich, betonte Conect-Geschäftsführerin Bettina Hainschink. "Mit den Normen haben wir auch innerhalb des Unternehmens eine einfachere Zusammenarbeit und die Wirtschaft wird einfach auf ein anderes Niveau und eine andere Ebene gehoben", stellte Hainschink fest. Der Nutzen für Unternehmen sei daher nicht nur eine verbesserte Security, sondern auch insgesamt verbesserte Prozesse und eine verbesserte Kommunikation im Unternehmen.

Perspektive der Auditoren

"Es stärkt mit Sicherheit das Verständnis im Unternehmen und die Zusammenarbeit wird erleichtert", hob Markus Schiemer, Auditor für IT-ISO 20000, zur Einleitung den großen Nutzen für Unternehmer hervor. Wenn sich ein Unternehmen für diese Normen öffnen will, muss es aber auch den Management-Teil offen darlegen. "Nicht die fachliche Umsetzung macht Probleme, sondern wie gehe ich mit dem Management-Teil um", erläuterte Schiemer.

Auf die Historie ging Herbert Geyer, Auditor für IT-ISO 27001, ein: "Wir haben bereits 1998 bei Siemens mit der Umsetzung begonnen. Und Siemens war zwei, drei Jahre lang der Erste im deutschsprachigen Raum, der zertifiziert wurde." Am Start stand der technische Part im Mittelpunkt. "Der Nutzen ist nicht, Einzelmaßnahmen in der Informationssicherheit umzusetzen, sondern ein Instrument für Corporate Governance für Informationssicherheit zu haben. Dazu gehört Reporting, Melden und Monitoren von Sicherheitsvorfällen, aber nicht nur auf technischer Ebene, sondern auch wenn es um personelle, physische oder organisatorische Sicherheit geht", führte Geyer den gesamtheitlichen Ansatz aus. Geyer erläuterte, dass die Zertifizierung auch für Klein- und Mittelbetriebe interessant sein könnte. Während in Großbritannien die Normierung schon beinahe state-of-the-art ist, ist in Österreich das Bewusstsein noch nicht da. "Wir bemerken erst jetzt ein zunehmende Awareness in punkto Informationssicherheit auch bei KMUs", so Geyer.