Der Dreiklang aus Governance, Risk & Compliance (GRC) bezeichnet den Ordnungsrahmen aus internen Richtlinien, risikobasiertem Handeln und einzuhaltenden gesetzlichen oder branchenspezifischen Vorgaben, in dem sich moderne Unternehmen bewegen. Die Umsetzung und Einhaltung dieses Ordnungsrahmens gehört zu den zentralen Aufgaben der Unternehmensführung, wird in der Praxis aber oft an Mitarbeiter delegiert. Die Informationstechnologie ist dabei in vielerlei Hinsicht von entscheidender Bedeutung, und für die Aufrechterhaltung des Unternehmensbetriebes essenziell: Einerseits unterstützt sie Innovationen und fördert aktiv die Wertschöpfung eines Unternehmens. Andererseits schafft sie neue Risiken für Informationssicherheit – etwa durch die Vergrößerung der Angriffsfläche, z. B., durch den Remote Access von Mitarbeitern und Partnern.
Daniel Kammerbauer, Team Lead Governance, Risk and Compliance bei Controlware, erklärt: „Informationssicherheit ist Chefsache und stellt eine risikobasierte Investition dar. Um diese Investition zielgerichtet tätigen zu können, muss ein Unternehmen erst den Rahmen schaffen, Risiken überhaupt identifizieren und managen zu können. Hierfür eignet sich ein Managementsystem für Informationssicherheit (ISMS). Dieses stellt sicher, dass Informationssicherheit nachhaltig etabliert und kontinuierlich verbessert wird, und schafft die zentrale Voraussetzung, um erfolgreich und nachhaltig auf dem Markt zu bestehen.“
Risikobasiertes Denken ist gefragt
Gefordert, befeuert und unterstützt wird organisatorische Informationssicherheit vor allem durch staatliche Organe (etwa NIST, BSI) und Gesetzesinitiativen (KRITIS, IT-SIG 2.0) sowie durch die Entwicklung entsprechender Normen (ISO/IEC 27000, IT-Grundschutz). Ein ISMS stellt den risikobasierten Ansatz konsequent in den Mittelpunkt. Kann ein Unternehmen die folgenden Fragen beantworten, zeigt dies, dass es Informationssicherheit nachhaltig lebt und weiterentwickelt sowie Entscheidungen ganzheitlich betrachtet und abwägt:
- Welche Informationspolitik wird verfolgt – und berücksichtigt diese den Kontext der Organisation sowie die Interessen und Anforderungen der Stakeholder?
- Welchen Informationssicherheitsrisiken ist das Unternehmen ausgesetzt, welche Maßnahmen wurden dagegen ergriffen und sind diese wirksam?
- Welche Prozesse und Ressourcen sind unternehmenskritisch, und welche Maßnahmen wurden getroffen, um diese auch widerstandsfähig zu gestalten? Gibt es einen Plan, wenn doch etwas passiert?
„Gerade die letzten beiden Fragen stellen Verantwortliche immer wieder vor Herausforderungen. Generell tun sich die Unternehmen leicht, die technische Sinnhaftigkeit von Maßnahmen im IT-Kontext zu beurteilen. Die Bedeutung für die Informationssicherheit greifbar zu machen und in den Business-Kontext zu setzen, ist ungleich schwieriger“, so Daniel Kammerbauer. „Die organisatorische Informationssicherheit liefert mit ihrem risikobasierten Ansatz für diese Situationen die Argumentation, um den Einsatz von Mitteln zu begründen und effektiv zu tätigen.“
IT-Sicherheit als Voraussetzung für Geschäftsbeziehungen und Wettbewerbsvorteil
In Geschäftsbeziehungen wird die Informationssicherheit über alle Branchen hinweg immer wichtiger: Um eigene Risiken zu minimieren, erwarten Geschäftspartner, dass Informationssicherheit nachweisbar ernst genommen wird. Ein ISMS, das von unabhängigen Dritten geprüft und zertifiziert ist, liefert eine hervorragende Basis. In diesem werden Informationssicherheitsrisiken kontinuierlich identifiziert, bewertet und Maßnahmen abgeleitet, um die Risiken zu reduzieren. Dies beugt Störungen kritischer IT vor und ermöglicht die Entwicklung belastbarer Strategien zum Umgang mit Informationssicherheitsvorfällen.
Als IT-Dienstleister und Beratungsunternehmen steht Controlware Kunden pragmatisch und praxisnah bei allen Fragestellungen rund um GRC zur Seite – von der Erreichung strategischer Ziele im Bereich der Informationssicherheit über die Einführung eines ISMS bis hin zu operativen Themen wie Auditierung und Risiko-Management. Grundlage der Zusammenarbeit ist ein praxisnahes Vorgehensmodell, das passgenau an den Bedürfnissen und am Reifegrad der Kunden ausgerichtet ist. Controlware selbst hat bereits vor über zehn Jahren ein ISMS implementiert, nach ISO/IEC 27001 zertifizieren lassen und diese Zertifizierung aufrechterhalten.
Die Controlware GmbH, Dietzenbach, ist mit mehr als 800 Mitarbeitern und einem Umsatz von ca. 330 Mio. Euro einer der führenden unabhängigen Systemintegratoren und Managed Service Provider in Deutschland. Das 1980 gegründete Unternehmen entwickelt, implementiert und betreibt anspruchsvolle IT-Lösungen für die Data Center-, Enterprise- und Campus-Umgebungen seiner Kunden. Das Portfolio erstreckt sich von der Beratung und Planung über Installation und Wartung bis hin zu Management, Überwachung und Betrieb von Kundeninfrastrukturen durch das firmeneigene ISO 27001-zertifizierte Customer Service Center. Zentrale Geschäftsfelder der Controlware sind die Bereiche Network Solutions, Collaboration, Information Security, Application Delivery, Data Center & Cloud sowie IT-Management. Controlware arbeitet eng mit national und international führenden Herstellern zusammen und verfügt bei den meisten dieser Partner über den höchsten Zertifizierungsgrad. Das starke Unternehmen unterhält ein flächendeckendes Vertriebs- und Servicenetz mit 16 Standorten in DACH. Im Bereich der Nachwuchsförderung kooperiert Controlware mit renommierten deutschen Hochschulen und betreut durchgehend um die 50 Auszubildende und Studenten. Zu den Unternehmen der Controlware Gruppe zählen die Controlware GmbH, die ExperTeach GmbH, die Networkers AG und die productware GmbH.
Controlware GmbH
Waldstr. 92
63128 Dietzenbach
Telefon: +49 (6074) 858-00
Telefax: +49 (6074) 858-108
http://www.controlware.de
Marketing
Telefon: +49 (6074) 858-246
Fax: +49 (6074) 858-220
E-Mail: stefanie.zender@controlware.de
H zwo B Kommunikations GmbH
Telefon: +49 (9131) 81281-25
Fax: +49 (9131) 81281-28
E-Mail: info@h-zwo-b.de