Informationssicherheit als Qualitätsmerkmal eines ITService nach ITIL
Transcription
Informationssicherheit als Qualitätsmerkmal eines ITService nach ITIL
Universität Hannover Wirtschaftswissenschaftliche Fakultät Institut für Wirtschaftsinformatik Informationssicherheit als Qualitätsmerkmal eines ITService nach ITIL Vorlagedatum: 11.06.2007 Verfasser: Sylvio Zapf Prinzhornweg 2 31303 Burgdorf 0176 / 23217449 [email protected] Betreuer: Robert Pomes Informationsmanagement und sicherheit im Sommersemester 2007 Informationssicherheit als Qualitätsmerkmal eines ITService nach ITIL Seite I Inhaltsverzeichnis 1 Einleitung...............................................................................................................................1 1.1 Herausforderung Informationssicherheit.............................................................................1 1.1.1 Relevanz...................................................................................................... ..................1 1.1.2 Abhängigkeiten................................................................................................. ............2 1.2 Vorgehensweise und Zielsetzung........................................................................... ..............3 2 Informationssicherheit als Querschnittsfunktion von ITIL................................................3 2.1 Grundlagen der Informationssicherheit...............................................................................3 2.1.1 Ziele der Informationssicherheit ................................................................................ ..3 2.1.2 Aspekte der Informationssicherheit.............................................................................5 2.1.3 Möglichkeiten der Sicherstellung............................................................................ .....8 2.2 ITIL als Standardregelwerk..................................................................... ...........................9 2.2.1 Darstellung der Version 3 von ITIL.............................................................. ...............9 2.2.2 Etablierung von Informationssicherheit.................................................................... .13 2.3 Qualitätssicherung durch ITIL............................................................................... ............14 2.3.1 Was ist Qualität?............................................................................................ .............14 2.3.2 Die ITILHinterlegung....................................................................................... ........15 2.4 Der Zusammenhang der dargestellten Teilbereiche ..........................................................16 2.5 Informationssicherheit und seine Auswirkungen im und für das Unternehmen...............17 3 Bewusstsein von ITSicherheit, ITIL und Qualität in der Praxis .....................................18 3.1 Inhalte und Auswertung............................................................................ .........................18 4 ITIL und die Einführungsproblematik in Unternehmen..................................................21 4.1 Anforderungsanalyse........................................................................................... ...............21 4.2 Vorstellung einer erfolgreichen Vorgehensweise..............................................................23 4.3 Informationssicherheit und Qualitätssicherung.................................................................24 5 Fazit und Ausblick...............................................................................................................25 6 Literaturverzeichnis.............................................................................................................28 7 Anhang.................................................................................................................................III Informationssicherheit als Qualitätsmerkmal eines ITService nach ITIL Seite II Abbildungsverzeichnis Abbildung 1: Nutzung von IKT in Unternehmen durch Beschäftigte von 2002 bis 2006 in %.....1 Abbildung 2: Objekte der Bedrohung; ...................................................................... .....................2 Abbildung 3: Lifecycle von ITIL Version 3.................................................................................. .11 Abbildung 4: Zusammenhang der Bereiche und der IT................................................................16 Abbildung 5: Vorteile von ITIL...................................................................................... ...............21 Abbildung 6: Größte Hürden für die Implementierung von ITIL.................................................22 Abbildung 7: Hürden bei der Implementierung von ITIL.............................................................23 Abbildung 8: Phasenmodell zur ITILImplementierung..............................................................24 Abbildung 9: Vorteile von Zertifizierungen..................................................................... .............25 Abbildung 10: Angaben bezüglich Qualität..................................................................................27 Tabellenverzeichnis Tabelle 1: Semantische Dimensionen von Verlässlichkeit und Beherrschbarkeit..........................5 Tabelle 2: deutsche Vorgaben und deren abgeleiteten Anforderungen an die ITSicherheit..........7 Tabelle 3: ausländische Vorgaben und deren abgeleiteten Anforderungen an die ITSicherheit.. .7 Tabelle 4: Inhalte der neuen Core Books...................................................................................... .13 Informationssicherheit als Qualitätsmerkmal eines ITService nach ITIL 1 Einleitung Seite 1 1 Einleitung 1.1 Herausforderung Informationssicherheit 1.1.1 Relevanz Unternehmensprozesse basieren immer meh auf ITLösungen, IT steht hierbei für Informationstechnik. Vielfach ist ohne funktionstüchtige IT das Tagesgeschäft eines Unternehmens nicht zu bewältigen. Je höher die Abhängigkeit von der IT ist, desto wichtiger ist die Sicherheit von Informations und Kommunikationstechnik im und für das Unternehmen. Sicherheit stellt zu dem ein Grundbedürfniss der Menschheit dar, dies muss auch in der ITWelt Einzug erhalten. Dabei wird in dieser Zeit der stärkeren Vernetzung ein immer größeres Risikopotenzial eröffnet, dem mit geeigneten Mitteln begegnet werden sollte. Um diesen Risiken entgegen wirken zu können, sind das Bewusstsein im ganzen Unternehmen zu etablieren und zu fördern. Wie in oben schon angedeutet, ist im 21. Jahrhundert sehr viele Geschäftsbereiche und tätigkeiten nicht mehr ohne IT zu erfüllen. Dies lässt eine hohe Abhängigkeit erkennen. Die Schäden bei nicht Sicherstellung der Informationssicherheit und der IT allgemein, können ein zerstörerisches Potenzial für das Unternehmen haben. Abbildung 1: Nutzung von IKT in Unternehmen durch Beschäftigte von 2002 bis 2006 in % Quelle: Statistisches Bundesamt (2007), S. 5 Diese Gefährdung hat auch den Gesetzgeber veranlasst sich tiefer gehend mit diesem Bereich zu befassen. So existieren zahlreiche Regelungen, die dem Ziel folgen, den Einzelnen zu schützen. Unternehmen sind aufgefordert dies auch in ihrer IT umzusetzen, wodurch es einen entsprechenden Stellenwert im Unternehmen einnimmt. Es ist nicht geschäftsfördernd, wenn Informationssicherheit als Qualitätsmerkmal eines ITService nach ITIL 1.1 Herausforderung Informationssicherheit Seite 2 Konkurrenten beispielsweise die einzigartige Rezeptur für ein Produkt in die Hände bekommen oder die Kundenliste des Unternehmens. Die Gefahr steigt nicht nur durch die immer stärkere Vernetzung, sondern fängt mit dem Bewussten Umgang mit Informationen im Unternehmen an. 1.1.2 Abhängigkeiten Informationssicherheit ist ein ständiger Prozess und muss sich an Veränderungen anpassen können.1 Das Betrachtungsfeld ist hier das MenschMaschineSystem, welches durch Fehler oder Fremdeinwirkung beeinträchtigt werden kann, wobei unterschiedlich vorgegangen werden muss. Bei der Komponente Maschine mit all ihren Bauteilen und Verbindungselementen kann der Mensch mithilfe von Überwachungs und Steuerungsmechanismen arbeiten. Wobei berücksichtigt werden muss, dass alles vom Menschen beeinflusst werden kann. Wodurch ihm ist diesem eine besondere Stellung in diesem Themenbereich zugesprochen werden muss, da er Sicherungsposten und Angreifer darstellen kann. Dieses Gefüge ist ein komplexerer Zusammenhang als bei der Maschinellen Komponente, bei der über ein Konfigurationsdatei gesteuert wird. Der Mensch ist ein selbständig denkendes und handelndes Wesen, was nicht von anderen gesteuert werden kann. So sind Unternehmen gefordert den Faktor Mensch im Unternehmen in die richtige Richtung zu lenken. Es gibt zahlreiche weitere Einflussgrößen die in Abbildung 1 dargestellt sind. Danach sind die Angriffe auf Informationssicherheit, nicht von denen auf physische Systeme zu Abbildung 2: Objekte der Bedrohung; Quelle: in Anlehnung an Humpert (2004) unterscheiden, jedoch sind diese vielfältiger.2 Die Vielzahl von Szenarien können unterschieden werden zwischen Gefahren von Innen und Außen auf das Unternehmen. Der Mensch übt dabei 1 Vgl. Hornung (2005) 2 Vgl. Humpert (2004) Informationssicherheit als Qualitätsmerkmal eines ITService nach ITIL 1.1 Herausforderung Informationssicherheit Seite 3 eine sehr stark Rolle auf die Sicherheit aus. So wurde 2007 eine Umfrage von CIO.de durchgeführt, wobei die größte Gefährdung durch eigene Mitarbeiter ausgeht, so 66 Prozent der 316 Teilnehmer. 2006 sahen es 60 Prozent so.3 1.2 Vorgehensweise und Zielsetzung Im ersten Teil der Arbeit sollte verdeutlicht werden, warum der Bereich Informationssicherheit ein sehr wichtiges Themengebiet darstellt. Daran anschließend soll eine Definition zur Informationssicherheit gegeben werden und welche Umsetzungsmöglichkeitet es gibt. Aus diesen soll die Information Technologie Infrastructur Libary, kurz ITIL vorgestellt werden, als eine Möglichkeit. Des weiteren wird sich mit dem Gebiet der Qualität befasst. Danach soll das Zusammenwirken der Komponenten betrachtet werden und Folgen bei Verlust von Informationssicherheit aufgezeigt werden. Um Aussagen zu bekräftigen, soll im dritten Teil eine Studie mit Chief Informations Officers's, kurz CIO's, in Unternehmen gemacht werden. Diese Daten und die der vorherigen Abschnitte sollen helfen Fragen bezüglich ITIL zu beantworten Die Arbeit endet mit der Beantwortung der Ausgangsfrage: Stellt Informationssicherheit ein Qualitätsmerkmal eines ITServices nach ITIL dar? 2 Informationssicherheit als Querschnittsfunktion von ITIL 2.1 Grundlagen der Informationssicherheit 2.1.1 Ziele der Informationssicherheit Um sich näher mit mit Informationssicherheit oder als synonym verwendet ITSicherheit zu befassen ist eine Definition nötig. Nach Eschweiler/ Atencio Psille gibt es diese nicht. Viele Autoren versuchen das Thema zu umgehen oder setzen eine allgemeine Definition voraus.4 Um sich die Begrifflichkeiten besser zu verdeutlichen, ist es wichtig sich klar zumachen dass sich Informationssicherheit mit dem MenschMaschineSystem beschäftigt. Dabei handelt es immer 3 Vgl. http://www.cio.de (im Anhang befindet sich die ganze Befragung von 2007) 4 Vgl. Eschweiler/Atencio Psille (2006) S. 11 Informationssicherheit als Qualitätsmerkmal eines ITService nach ITIL 2.1 Grundlagen der Informationssicherheit Seite 4 um eine Zusammenarbeit von Mensch und Maschine. Wobei diese zwei Fehlerquellen beinhaltet kann, den Faktor Mensch und die Maschine als komplexes System verstanden. Wie im ersten Kapitel versucht wurde darzustellen, ist es nicht abzustreiten, dass Informationssicherheit für das Unternehmen von Elementarer Bedeutung ist.5 IT umfasst hierbei alle notwendigen Komponenten, dabei geht es nicht nur um Hard und Software, sondern auch um Kommunikationstechnik, Arbeitsabläufe, Dokumentationen und vorhanden fachspezifische Ressourcen im Unternehmen.6 Federrath und Pfitzmann haben ITSicherheit wie folgt Zusammangefasst: „ITSicherheit bezeichnet die Funktion und Prozesse zur Schaffung und Erhaltung von Systemzuständen eines informationstechnischen Systems (ITSystem), in denen Bedrohungen, die auf das ITSystem einwirken, keine negativen Auswirkungen auf das System oder dessen Umwelt haben, d.h. das ITSystem verbleibt in einem sicheren Systemzustand.“7 Dieses betrachtet nur die Richtigkeit der Informationen. Jedoch wird in unserer heutigen Zeit, durch eine Vielzahl von Gesetzen, auch eine Nachweisbarkeit gefordert. Somit ergeben sich zwei Zielstellungen für Informationssicherheit, die Verlässlichkeit und die Beherrschbarkeit. Verlässlichkeit auf der einen Seite beschäftigt sich mit Schutz der Informationen, währenddessen sich die Beherrschbarkeit dem Schutz der Personen widmet. Beide haben semantische Dimensionen die in Tabelle 1 dargestellt sind. Verlässlichkeit kennzeichnet die Sicherheit der Informationen, bei der weder die Systeme noch die mit ihnen verarbeiteten Informationen, noch die Funktionen und Prozesse in ihrer Nutzung, ihrem Bestand oder ihrer Verfügbarkeit unzulässig beeinträchtigt werden. Verfügbarkeit impliziert, dass Benutzer auf das Informationssystem und seine Objekte ohne Einschränkung zugreifen können. Integrität bedeutet, dass sämtliche Informationen vollständig, korrekt und unverfälscht vorliegen. Die Vertraulichkeit ist gegeben, wenn Objekte bezüglich 5 Vgl. vom Brocke/Budendick (2005), S. 1227 6 Vgl. Materna (2007), S.4 7 Vgl. Federrath/Pfitzmann (2006), S. 273 Informationssicherheit als Qualitätsmerkmal eines ITService nach ITIL 2.1 Grundlagen der Informationssicherheit Seite 5 Informationsinhalten und verhalten, in zulässiger Weise nur einem definierten Nutzerkreis bekannt sind. Dabei lassen sich die Dimensionen je nach eigenem Interesse unterschiedlich stark Definieren und im Unternehmen implementieren, um ein eigens definiertes Maß an Sicherheit zu gewährleisten. Dies sollte mit den eigenen Ansprüchen abgedeckt sein, so ist es für ein Webportal wichtig jederzeit erreichbar zu sein und somit ein hohes Maß an Verfügbarkeit aufzuweisen muss. Verlässlichkeit - Sicherheit des Systems Verfügbarkeit Integrität Vertraulichkeit Beherrschbarkeit - Sicherheit vor dem System Zurechenbarkeit Revisionsfähigkeit Tabelle 1: Semantische Dimensionen von Verlässlichkeit und Beherrschbarkeit Quelle: in Anlehnung an Dierstein (2004), S. 347ff Beherrschbarkeit beschreibt die Sicherheit der Betroffenen, bei der Rechte oder schutzwürdige Belange der Betroffenen durch die Nutzung oder das Vorhandensein von Informationen nicht unzulässig beeinträchtigt werden darf. Als semantische Dimensionen lassen sich hier zum einen die Zurechenbarkeit und die Revisionsfähigkeit, auch als Rechtverbindlichkeit verstanden, nennen. Zurechenbarkeit fordert eine eindeutige personale Verantwortungszuordnung ausgeführter Aktionen, sowie deren Ergebnisse und Auswirkungen. Die Notwendigkeit einer hinreichend verlässlichen Beweiskraft von Informationen fordert die Revisionsfähigkeit, wodurch jeder Vorgang und dessen Ergebnis zweifelsfrei für Dritte erkennbar und beweisbar ist. Beide Sichtweisen ergänzen sich und bilden so eine umfassende Darstellung. Diese sind zueinander Komplementär sind und von Dierstein als duale Sicherheit bezeichnet werden.8 2.1.2 Aspekte der Informationssicherheit In den vorherigen Abschnitte wurde schon versucht Themenbereiche aufzuzeigen die Informationssicherheit für ein Unternehmen erforderlich machen. Dies soll hier gezielter 8 Vgl. Dierstein (2004), S. 343ff Informationssicherheit als Qualitätsmerkmal eines ITService nach ITIL 2.1 Grundlagen der Informationssicherheit Seite 6 anhand rechtlicher, technischer und opperativer Gesichtspunkten dargestellt werden. In vielen Artikeln bezüglich dieses Themas ist zu lesen, dass Informationssicherheit Chefsache ist. Dies ist auch die Position des Gesetzgebers in seinen Regelungen.. Durch Gesetzte, die die rechtlichen Aspekte beschreiben, werden meist gleichzeitig die organisatorischen und technischen mit genannt.9 In Unternehmen ist festzustellen, dass meist nur der Bereichen Technik und Organisation besteht und nur wenige den Bereich Recht berücksichtigen.10 In diesem Abschnitt soll ein kurzer Überblick über heranzuziehende Gesetzte und deren Auswirkungen auf das Unternehmen dargestellt werden. Zur besseren Darstellung geschieht dies anhand Tabelle 2 und 3.11 Beim Gesetzgeber erlangt diese Thematik eine immer höhere Aufmerksamkeit, durch die immer häufiger auftretenden Schadensfälle und deren Bedeutsamkeit für die Wirtschaft. Dabei ist festzustellen, dass die gesetzlichen Regelungen immer in Beziehung mit Informationssicherheit stehen, dies erklärt den oben genannten Zusammenhang.12 Dabei können die einzuhaltenden Vorschriften unterteilt werden in deutsche und ausländische Regelungen. Regelungen in Deutschland Gesetze/ Vorschriften Inhalt/Ziel Aufgaben der ITSicherheit BGB Bürgerliches Gesetzbuch regelt Ansprüche bei Schädigung des Selbstbestimmungsrechts, zwischen dem Unternehmen und den betroffenen Personen Regelung zum Zugang von Dritten Vertraulicher Umgang mit Daten HGB Handelsgesetzbuch Recht und Pflichten im Handel Sicherstellung der ordnungsgemäßen Abbildung der Buchführung mit der IT StGB Strafgesetzbuch IT einerseits als Werkzeug, andererseits als Opfer Schutz der ITSysteme BDSG Bundesdatenschutz gesetz Schutz der Daten, die in Datenschutzbeauftragten berufen jeglicher Form gespeichert oder Pflicht des Personals zur Beachtung von lesbar sein können (Papier, Regeln Digital) GoBS verbindliche gesetzliche Rollen und Berechtigungskonzepte 9 Vgl. BITKOM(2005b), S. 4 oder Forthmann/Höfling (2007) 10 Niedermeier/Junker (2004), S. 4 11 Einen genauen Überblick über die Haftung der Beteiligten hat BITKOM im Jahre 2005 anlässlich der Cebit eine Haftungsmatrix aufgestellt 12 Vgl. Eschweiler/Atencio Psille (2006), S. 12 Informationssicherheit als Qualitätsmerkmal eines ITService nach ITIL 2.1 Grundlagen der Informationssicherheit Seite 7 Grundsätze Regelung für die elektronische ordnungsgemäßer DV Buchhaltung von Unternehmen gestützer Buchführungs systeme Datenhaltung technische Authentisierung GmbHGesetz/ Aktien Gesetz Pflichten zur Führung eines Unternehmens Sicherstellung einer bedarfs und rechtskonformen ITNutzung Einfürhung und Aktualisierung eines Sicherheitskonzeptes Verhinderung von Schäden an Dritten durch die eigene IT KonTraG Gesetz zur Kontrolle und Transparenz im Unternehmensbereich Informationsbedarf an Überwachungssysteme zur Erfassung, Anforderungen von Kommunikation und Handhabung von internationalen Kapitalmärkten Risiken anpassen Tabelle 2: deutsche Vorgaben und deren abgeleiteten Anforderungen an die ITSicherheit Quelle: in Anlehnung an Eschweiler/Atencio Psille (2006), S. 129ff Je nachdem wie und wo das Unternehmen agiert sind die geltenden Bestimmungen einzuhalten. Dabei wird hier nicht darauf eingegangen für wenn und ab wann welche Regelungen zutreffen. Einige, wie das BGB, HGB, StGB und die GoBS sind immer verpflichtend. In Untersuchungen wurde dabei festgestellt das kleinere Unternehmen eher dazu neigen sich nicht mit dieser Ausländische Reglungen Gesetze/ Vorschriften Inhalt/Ziel Aufgaben der Informationssicherheit Basel II Investitionsicherheit für Kreditgeber Kontroll, Mess, und und nehmer gewährleisten und soch Risikobewertungsverfahren einführen für die Finanzmärkte stabil halten Kreditinstitute SOX effektive Vermeidung von Fehlhandlungen und somit den Schutz von Unternehmen und deren Partner durch Verbesserung der Berichterstattung Kontrollmaßnahmen Tabelle 3: ausländische Vorgaben und deren abgeleiteten Anforderungen an die ITSicherheit Quelle: in Anlehnung an Eschweiler/Atencio Psille (2006), S. 135ff Thematik zu beschäftigen. Meist begründet durch die eingeschränkten Ressourcen im Unternehmen, wie Zeit, Geldmittel oder Personal.13 In Tabelle 3 werden Regularien vorgestellt die für so genannte Global Player unter den Unternehmen beachtet werden müssen, beispielsweise durch Börsennotierung in den USA. 13 Vgl. Sunner (2007), S.1 Informationssicherheit als Qualitätsmerkmal eines ITService nach ITIL 2.1 Grundlagen der Informationssicherheit Seite 8 In den Tabellen 2 und 3 werden unter dem Punkt Aufgaben der Informationssicherheit, einige organisatorische und technische Aufgaben genannt. Dabei sind unter den technischen Gesichtspunkten alle Maßnahmen und Mittel zu verstehen, die mit hilfe von Hard und Software helfen, Sicherheit zu gewährleisten. Diese müssen aufeinander abgestimmt werden und auch zusammenarbeiten, um das System vor internen und externen Eindringlingen zu schützen. Dabei sind aktive und pro aktive Maßnahmen zu erkennen, beispielsweise sind Virensoftwarelösungen überwiegenden pro aktiv, das heisst sie werden erst nach der Infizierung tätig. Teilweise sind sie durch vorab scans, von Dokumenten, auch aktiv tätig um Schadsoftware an der Ausführung zu verhindern. Wie am Anfang schon heraus gearbeitet wurde, ist bei MenschMaschineSystemen der Mensch als Schwachstelle zu identifizieren. Dieser Umstand trägt dazu bei, wie auch durch die gesetzlichen Regelungen, dass organisatorische Maßnahmen im Unternehmen zu implementieren sind. Dies soll helfen die Daten im System zu schützen. So wird versucht Technik und menschliches Verhalten aufeinander abzustimmen , um den effektiven Schutz zu erhöhen. So sind Sicherheitsrichtlinien, die auf das Unternehmen abgestimmt sind zu verfassen und dem Mitarbeiter in einer verständlichen und umsetzenden Weise zu kommunizieren. Dabei darf keine Überforderung auftreten und als Checkliste verstanden werden. Die Mitarbeiter müssen aktiv mit eingebunden werden, um Sicherheit wirkungsvoll zu verankern und zu leben. 2.1.3 Möglichkeiten der Sicherstellung Informationssicherheit kann durch verschiedene Wege und Absichten im Unternehmen etabliert und sichergestellt werden. Hier soll ein Überblick über Sicherheitsrichlinien gegeben werden.14 Bei diesen handelt es sich um die Normen BS 7799 und ISO 17799, das IT Grundschutzhandbuch und die Information Technologie Infastructure Libary, kurz ITIL. Die Normen BS 7799 und ISO 17799 sind sehr ähnlich, da der britische Standard in eine ISO Norm übernommen wurde. Diese Normen geben das Vorgehen zum Aufbau eines Informationssicherheitsmanagement an. Dabei geben sie eine Definition praxisorientierter Mindestanforderung und schaffen die Basis für die Entwicklung, Implementierung und 14 Vgl. Sauer (2005), S. 1ff Informationssicherheit als Qualitätsmerkmal eines ITService nach ITIL 2.1 Grundlagen der Informationssicherheit Seite 9 Messung einer effektiven Sicherheitsorganisation. Das ITGrundschutzhanbuch des Bundesministeriums der Sicherheit in der Informationstechnik, kurz BSI, stellt Standardsicherheitsmaßnehmen, Umsetzungshinweise und Hilfsmittel bereit für die Informationssicherheit. Die bisher erläuterten Sicherheitsrichtlinien betrachten nur den Bereich der Sicherheit an sich. Wohingegen ITIL versucht den Themenbereich Informationssicherheit prozess und serviceorientiert zu betrachten. Dabei verfolgt ITIL das Ziel der Standardisierung von Abläufen, um so Qualität, Sicherheit und Wirtschaftlichkeit von ITProzessen nachhaltig zu sichern und zu verbessern. 2.2 ITIL als Standardregelwerk 2.2.1 Darstellung der Version 3 von ITIL Die Information Technologie Infastructure Libary stellt ein Referenzmodell auf der Basis von „Best Practies“ für ITServicemodelle dar. Entstanden ist es Mitte der achtziger Jahre in Großbritannien und wird dort vom britischen Office of Goverment Commerce (OGC) ständig weiterentwickelt und verfeinert. Informationssicherheit wird als unverzichtbar angesehen, wobei die Sicherheitsanforderungen an die Geschäfts und ITProzesse koordiniert werden. So lassen sich gleichzeitig Synergiepotentiale erkennen und nutzbar machen. Ein Grund für den Einsatz von ITIL sind veränderte Herausforderungen in der IT, die in anderen Bereichen schon durchlaufen wurden.15 ITIL wird weltweit als de facto Standard Rahmenwerk anerkannt und erfreut sich immer größerer Beliebtheit.16 Das Ziel von ITIL ist es die ITServices kunden, prozess und serviceorientiert zu gestalten und schlägt so ein Brücke zwischen geschäftlichen Anforderungen und der IT im Unternehmen.17 Dabei ist es unabhängig von Anbietern und Technologie, da es sich um ein generisches Modell handelt. Zum anderen ist es organisationsneutral und definiert durch sein Rollenkonzept Verantwortlichkeiten sowie Prozesse und Funktionen.18 Es beinhaltet meist nur das WAS aber nicht das WIE. Bei der Umsetzung wird auf die oben beschriebenen Normen ISO 17799 und BS 7799 verwiesen, die 15 16 17 18 Vgl. BSI (2005), S. 5f Vgl. Materna Monitor (01/2007), S. 3 Vgl. Köhler (2006), S. 37f Vgl. Materna (2007), S. 4 Informationssicherheit als Qualitätsmerkmal eines ITService nach ITIL 2.2 ITIL als Standardregelwerk Seite 10 ITIL bezüglich Informationssicherheit mit Leben füllen. ITIL wurde beziehungsweise wird einer Neuerung unterzogen, von ITIL Version 2 die im Jahr 2000 in Kraft trat, in ITIL Version 3 die seit Mai/Juni diesen Jahres gestartet wurde. Dabei wird mit diesem Refresh das Rahmenwerk einer völligen Neuordnung unterzogen. Die Basisthemen der IT, die ITServices, sollen einen stärkeren Fokus bekommen.19 Die Neuerung der Umgestaltung ist das strukturgebende Element der Service Lifecycle. Somit wird nicht mehr der Prozess, sondern der Service in den Mittelpunkt gestellt. Dabei waren die Gedanken des Services in Version 2 schon im ICTInfrastructure Management vorhanden und wurden stärker herausgestellt. Der Service ist dabei das Zusammenwirken von Technologie und Prozessen.20 Dabei bilden sich Elementarketten von einzelnen Komponenten wie Netzwerk, Server und Anwendungen, die insgesamt den Service für den Anwender ermöglichen. Die neue Vorgehensweise hilft dabei den Blick auf das Ganze nicht zu verlieren. Dies geschah oft durch punktuelle Anwendungen von Teilbereichen in der Version 2. Zum anderen wurden nur Prozesse betrachtet, ein Service aber wie oben beschrieben beinhaltet mehr.21 Die Version 3 besteht aus Kern Publikationen, Ergänzungen und dem Internet, als Informationsquellen. Diese gemeinsame Nutzung der Medien soll helfen ITIL aktuell zu halten. Die Kernkometenzen umfassen jetzt fünf Bücher, die den Service Lifecycle ergeben und die einzelnen Phasen widerspiegeln wie in Abbildung 322 zu sehen ist. Die Phasen geben dabei die Vorgehensweise des ITIL Implementierungsprozesses wieder, angefangen vom Service Design bis zur Service Stilllegung. Genau sind dies die Service Strategies (Service Strategien), Service Design ( Modelle für den Betrieb), Service Transition (Service Implementierung beziehungsweise Einführung), Service Operation (Operativer Betrieb von Services) und Continual Service Improvement (kontinuierliche Verbesserung von Services). Die Bücher sollen einen geringeren Umfang aufweisen und nur Inhalte abgehandelt werden, die sich bewährt haben und keiner Änderungen unterliegen.23 Viele der alten Bücher werden nur neu einsortiert, 19 20 21 22 23 Vgl. Wisotzky (2007), S. 1 Vgl. Materne Monitor (02/2007), S. 13 Vgl. Materna Monitor (02/2007), S. 11ff Darstellung von ITIL Version 2 im Anhang Vgl. Bause (2006a), S. 1f Informationssicherheit als Qualitätsmerkmal eines ITService nach ITIL 2.2 ITIL als Standardregelwerk Seite 11 so sind sechzig Prozent der neuen Version aus der alten übernommen wurden. Die Neuerung bringt soweit Vorteile, dass Probleme mit Inkonsistenzen innerhalb der Bücher und die fehlende Struktur behoben wurden.24 Die einzelnen Inhalte sind in Tabelle 4 aufgezeigt. Dabei kann nicht vertiefend auf die einzelnen Abbildung 3: Lifecycle von ITIL Version 3 Quelle: in Anlehnung an Bause (2006a), S. 1 Inhalte eingegangen werden, da diese zum Zeitpunkt der Erstellung der Arbeit nicht verfügbar waren. So sind beispielsweise die Bereiche Service Support und Service Delivery, die mit die Haupteinstiegsprozesse in ITIL sind, mit übernommen wurden unter dem Bereich Service Opperation im Service Lifecycle.25 Die Ergänzungen sollen helfen das gesamte Rahmenwerk aktuell halten zu können, ohne dass alle Bereiche überarbeitet werden müssen. Dabei werden spezielle Interessengruppen angesprochen, beispielsweise die Einführung in kleinen Unternehmen. Das Internet soll Hilfestellungen für Anwender zur Verfügung stellen.26 Zielsetzung des Rahmenwerkes ist dabei die enge Zusammenarbeit mit dem Kunden und der ständige Dialog. Dabei trifft die Neuerung das ITManagement, aber auch ITVerantwortlichen, um den Begriff ITService Rechnung tragen zu können. Da alle Beteiligten die Verzahnung innerhalb der IT und dessen Einflussnahme auf die Services kennen müssen. Denn „Service Lifecycle Management ist ohne ständige, enge Kommunikation zwischen ITDienstleistern und Anwendern nicht möglich.“27 24 25 26 27 Vgl. Ostler (2007), S. 1f Vgl. Materna Monitor (02/2007), S. 12 Vgl. Bause (2006b), S. 1f Materna Monitor (02/2007), S. 12 Informationssicherheit als Qualitätsmerkmal eines ITService nach ITIL 2.2 ITIL als Standardregelwerk Seite 12 Der Vorteil der Version 3 ist seine bessere Struktur und den höheren Praxisbezug, die durch gezielte Gespräche herausgearbeitet wurden.28 So soll dies die Einführung und Anwendung vereinfachen. Teilweise sind auch Empfehlungen zum genauen Vorgehen gegeben und somit nicht nur ein rein generisches Modell.29 Trotz Veränderung sind alle bestehenden Zertifikate gültig und durch die Nutzung von ITIL in Version 2 entsteht gegenüber der Neuerung kein Nachteil, durch den hohen Übernahmeanteil und den unverändeten Kernbereichen. Eine Veränderung tritt in der Zertifizierung auf, bisher konnten sich nur Personen zertifizieren lassen und seit kurzem, Anfang 2006, über ISO 20000 auch Unternehmen und ihre Prozesse. Dies soll sich mit ITIL Version 3 ändern. So sollen sich Unternehmen und ihre ITAbläufe zertifizieren lassen können, um Kunden nach außen hin ein Zeichen der Abläufe geben zu können.30 Service Strategies ● ● ● ● ● Service Design ● ● ● ● ● ● ● ● ● ● Service Transition ● ● ● ● ● ● ● ● ● Service Operation ● ● ● Service Management Strategie und Planung der Wertschöpfung Verbindung der Businesspläne und der Ausrichtung auf die IT Service Strategie Planung und Implementierung einer Service Strategie Rollen und Verantwortlichkeiten Herausforderungen, kritische Erfolgsfaktoren und Risiken Der Service Lifecycle Service Design Ziele und Elemente Auswahl des Service Design Modells Service, Menschen, Prozesse, Knowhow und Tools Nutzen / Risikoanalyse Rollen und Verantwortlichkeiten Kostenmodell Nutzen / Risiko Analysen Implementierung Service Design Herausforderungen, kritische Erfolgsfaktoren und Risiken Managing von organisatorische und kulturelle Veränderung Knowlegde Management Service Management Kowledge Base System Lifecycle Stufen Risiko Analysen und Management Methoden und Tools Messung und Steuerung Sammlung von Best Practices Herausforderungen, kritische Erfolgsfaktoren und Risiken Service Operation Lifecycle Stufen Prinzipen, Prozessgundlage und Funktionen Application Management 28 Vgl. ITIL Refresh News (2006), S. 7f 29 Vgl. Ostler (2006), S. 1f oder ITIL Refresh News (2006), S. 6 30 Vgl. Wisotzky (2007), S. 3 Informationssicherheit als Qualitätsmerkmal eines ITService nach ITIL 2.2 ITIL als Standardregelwerk ● ● ● ● ● ● Continual Service ● ● Improvement ● ● ● ● ● ● ● ● ● Seite 13 Infrastructur Management Operationsmanagement Steuerung von Prozessen und Funktionen Skalierbare Vorgehensweisen Messung und Steuerung Herausforderungen, kritische Erfolgsfaktoren und Risiken Business Driver für Verbesserungen Technologie Driver für Verbesserungen Ausrichtung Business, finanzielle und organisatorische Benefits Prinzipien der kontinuierlichen Verbesserung von Services Rollen und Verantwortlichkeiten Methoden und Tools Implementierung von Service Improvement Messung und Steuerung Herausforderungen, kritische Erfolgsfaktoren und Risiken Sammlung von Best Practices Tabelle 4: Inhalte der neuen Core Books Quelle: in Anlehnung an ITIL Refresh News (2006), S. 4f 2.2.2 Etablierung von Informationssicherheit Durch den hohen Aktualitätsgrad der Version 3 und die noch nicht veröffentlichten Bücher wird auch hier auf die Version 2 zurückgegriffen. Dort ist Informationssicherheit im Security Management hinterlegt. Dabei wird versucht die Ziele der Informationssicherheit, wie sie oben beschrieben worden sind, sicherzustellen. Es beinhaltet Tätigkeitsbereiche der Softwareauswahl zur Sicherung, Zuweisung von Verantwortlichkeiten und auch den Umgang mit Passwörtern im Unternehmen sowie das Einführen und Prüfen von Sicherheitsmaßnahmen.31 Dabei ist zu beachten, dass sich Informationssicherheit durch das Security Management erst im Unternehmen etablieren lässt, wenn schon ITILProzesse eingesetzt oder in Planung sind. Da auf andere Prozesse der Bereiche Service Support und Service Delivery zurückgegriffen wird. Diese werden um Sicherheitsmerkmale und prozesse erweitert. So wird das Rahmenwerk mit anderen Prozessen verknüpft, um einen umfassenden und weitreichenden Schutz zu verwirklichen.32 Erst diese Verzahnung von ermöglicht Überwachungssysteme und mechanismen hilfreich im Unternehmen einzusetzen.33 Festzustellen ist, dass Informationssicherheit einen immer höheren Stellenwert durch den 31 Vgl. Köhler (2006), S. 203ff 32 Vgl. Sauer (2005), S. 4f 33 Vgl. Greiner (2006), S. 1f Informationssicherheit als Qualitätsmerkmal eines ITService nach ITIL 2.2 ITIL als Standardregelwerk Seite 14 Gesetzgeber bekommt.34 In Version 3 sollen auch neue Sachverhalte wie ITOutsoucring beinhaltet sein und nicht in jedem einzelnen Buch berücksichtigt werden, sondern als eigenständiger Bereich, der somit bei allen Entscheidungen mit Einfluss nimmt.35 2.3 Qualitätssicherung durch ITIL 2.3.1 Was ist Qualität? Qualität beschreibt die Beschaffenheit, die Eigenschaft und den Zustand von etwas, wobei keine Bewertung vorgenommen wird. Sie wird jedoch meist mit einer Wertung behaftet und damit versucht das Produkt oder die Leistung zu bewerten. Dies findet sich aber eigentlich in der Norm DIN EN ISO 9000:2000 wieder, wo Anforderungen mit den tatsächlichen Eigenschaften verglichen werden.36 Diese Norm beschreibt die Anforderungen an das Qualitätsmanagement, wobei sich acht Grundsätze ergeben. Diese beinhalten die Kundenorientierung, Führung, Prozessorientierung, ständige Verbesserung, sachliche Entscheidungsfindung und Lieferantenbeziehungen zum gegenseitigen Nutzen.37 Nach DIN EN ISO 8402 ist Qualität „die Gesamtheit der Merkmale und Merkmalswerte eines Produktes oder einer Dienstleistung bezüglich ihrer Eignung, festgelegte und vorausgesetzte Erwartungen zu erfüllen.“38 Festzuhalten ist, das Qualität den Erfolg des Unternehmens beeinflusst und Wettbewerbsvorteile generieren kann.39 Anwender, die die Technik nutzen wollen kümmern sich meist nicht um die Komplexität der Zusammenhänge, erst bei einem Problem zeigen sich die Qualitätsmängel. Im Bereich der Leistungsfähigkeit der IT sieht es der Awender besonders. Hier wird die Arbeits und Leistungsfähigkeit direkt beeinflusst. Ein weiterer Bereich wo sich die Servicequalität zeigt, ist bei der Anwenderbetreuung und der Störungsbearbeitung, um wieder produktiv das System nutzen zu können. Auch die Messbarkeit der Services ist meist nicht gegeben, was eine Bewertung zu liese. Um dies zu erreichen, muss die Servicequalität gesteigert, Prozesse 34 35 36 37 38 39 Vgl. Köhler (2006), S. 206f Vgl. Materne Monitor (02/2007), S. 11 Vgl. http://www.wikipedia.de Vgl. http://www.olev.de/ Köhler (2006), S.1 Vgl. Materna (2007), S. 3 Informationssicherheit als Qualitätsmerkmal eines ITService nach ITIL 2.3 Qualitätssicherung durch ITIL Seite 15 standardisiert und Kostensenkung realisiert werden.40 Servicequalität bedeutet zugleich Leistungsvereinbarungen zwischen zwei Parteien. Dies wiederum bringt soziale Interaktionen mit sich und muss somit gleichzeitig die benötigte Berücksichtigung von Sicherheitsfragen im Unternehmen bekommen.41 2.3.2 Die ITILHinterlegung Wie oben dargestellt wurde, geht es bei Qualität nicht nur um Prozesse sondern auch um den Service.42 Dieser wird auch durch das ITIL Refesh, wie es im Kapitel 2.2.1 vorgestellt wurde, näher in den Fokus gestellt und kommt somit den aktuellen Herausforderungen der IT Abteilungen entgegen. Die Unterscheidung zwischen Prozess und Services ist hierbei sehr hilfreich für die Betrachtung der Berücksichtigung in ITIL. Ein Prozess betrachtet nur einzelne Komponente, wie etwa das Netzwerk und auf diese werden Anforderungen vereinbart, die die ITAbteilungen zu erbringen haben. Diese Anforderungen gehen dabei mit auf Informatisonssicherheitsziele ein, wie die Verfügbarkeit. Wohingegen ein Service aus dem Prozess und den Komponenten besteht, somit das Zusammenspiel mit abbildet. Das bedeutet wiederum, dass ein Prozess alleine, so gut und sicher er im Sinne von Informationssicherheit etabliert ist, den Service für die Endanwender nicht sicherstellen kann.43 Durch die Einzelbetrachtungen werden die Zusammenhänge und Abhängigkeiten nicht wirklichkeitsgetreu dargestellt. Somit geht die Version 3, von ITIL, einen Schritt weiter zur qualitativen Betrachtung. Kundenwünsche und Anforderungen, wo auch die Qualität dazu zählt, können so besser durch die ITAbteilung als Servicedienstleister, bedient werden. 40 41 42 43 Vgl. BSI (2007b), S. 15 und S. 21 Vgl. Höfling (2005), S. 2 Vgl. Materna Monitor (02/2007), S. 17 Vgl. Materna Monitor (02/2007), S. 12f Informationssicherheit als Qualitätsmerkmal eines ITService nach ITIL 2.4 Der Zusammenhang der dargestellten Teilbereiche Seite 16 2.4 Der Zusammenhang der dargestellten Teilbereiche In den obigen Abschnitten wurde alle drei Gebiete vorgestellt und dargestellt wie Informationssicherheit und Qualität in ITIL implementiert ist. Die Zusammenhänge und Einflussmöglichkeiten dürfen jedoch nicht nur auf die IT gerichtet sein, sondern beinhalten noch mehr. Zu nennen sind hier die Entscheider, Mitarbeiter, Kunden, sozusagen alle die einen Einfluss auf den ITBereich oder auf einzelne Bereiche selbst haben. Dies wird versucht in Abbildung 4 zu verdeutlichen. Daraus geht hervor das Abhängigkeiten zueinander und Abbildung 4: Zusammenhang der Bereiche und der IT Quelle: eigene Darstellung insgesamt bestehen. Wie oben aufgezeigt wurde ist Informationssicherheit für alle Bereiche ein muss oder notwendig für die Gewährleistung der Arbeit, wie durch gesetzliche Anforderungen vorgegeben. Informationssicherheit ist ein wichtiger Bestandteil, von ITIL und Servicequalität, der berücksichtigt werden muss.44 Nur so kann gewährleistet werden, dass die ITServices sichergestellt sind. Durch diese Sicherstellung des ITBetriebs ist Informationssicherheit für die Qualität notwendig. Gleichzeitig aber auch für ITIL erforderlich, da sonst keine Sicherstellung der Prozesse nötig wäre, dies aber durch oben erwähnte Normen, die sich ITIL bedient, gefordert wird. Um eine Aussage bezüglich der Wirksamkeit von Informationssicherheit und dessen abgeleiteten Maßnahmen machen zu können sind Messgrößen wichtig. Hierdurch wird die Verzahnung mit ITIL verdeutlicht, denn durch die Standardisierung werden Anhaltspunkte für Messgrößen ersichtlich und durch die einheitliche Umsetzung im Unternehmen auch 44 Vgl. Höfling (2005), S. 2 Informationssicherheit als Qualitätsmerkmal eines ITService nach ITIL 2.4 Der Zusammenhang der dargestellten Teilbereiche Seite 17 vergleichbar.45 Messgrößen, so genannte Key Performance Indikatoren, die die Qualität der Informationssicherheit auf ITServices nach ITIl wiedergeben sind beispielsweise im Incident Management zu finden. Zu nennen sind hier die Anzahl von Vorfällen im Unternehmen oder die benötigte Zeit der Fehlerbehebung. Dabei können, durch die gewonnenen Daten, Rückschlüsse auf die Etablierung von Informationssicherheit geschlossen werden.46 Des weiteren sind die Anzahl versuchter Angriffe, abgefangene virenverseuchter Emails, aber auch die Anzahl von Schulungsmaßnahmen der Mitarbeiter zu Vorbeugung zu nennen.47 Das Bundesamt für Sicherheit in der Informationstechnik, kurz BSI hat hierzu im Jahr 2005 eine Broschüre herausgegeben, mit dem Titel „IT Infrastructure Libary (ITIL) und Informationssicherheit“48. In ihr wird umfangreich dargestellt, wo sich Synergiepotentiale ergeben, aber auch wo gegenläufige Ziele vereinbart werden müssen. So können beispielsweise mit Hilfe des Service Desk, als zentrale Anlaufstelle der Anwender für Fragen und Problem im ITILAnsatz, Sicherheitsvorfälle frühzeitig entdeckt und die Lücken so schnell geschlossen werden. Was dazu beiträgt das Services sicherzustellen und somit die Servicequalität aufrecht zu erhalten. Doch gleichzeitig sind die Zielsetzungen entgegengesetzt, ITIL will eine schnelle Wiederherstellung eines Services bei einem Ausfall, währenddessen Informationssicherheit die Ursache ermitteln möchte, um so die Gefahrenquelle zu beseitigen. 2.5 Informationssicherheit und seine Auswirkungen im und für das Unternehmen Unternehmen können durch Beachtung der Informationssicherheit die vorhanden Risiken für das Unternehmen senken. Aber wie es im Abschnitt 2.1.2 schon versucht wurde zu verdeutlichen, sind nur technische Maßnahmen zu etablieren. Da es hierbei nur ein Glied in der Kette darstellt und damit meist nur maschinelle Komponenten betroffen sind. Der Mensch, kann von diesen betroffen sein, bleibt jedoch an sich bei der Betrachtung außen vor. Somit ist zu sehen, dass erst eine umfassende Sichtweise die Gefahren minimiert. So ist immer das 45 46 47 48 Vgl. Sauer (2005), S. 4f Vgl. Franzl/Lauer (2007), S. 5 Vgl. Köhler (2006), S. 205ff siehe http://www.bsi.de/literat/studien/ITinf/itil.pdf Informationssicherheit als Qualitätsmerkmal eines ITService nach ITIL 2.5 Informationssicherheit und seine Auswirkungen im und für das Unternehmen Seite 18 schwächste Glied in der Kette das größte Gefährdungspotenzial zu zuordnen. Demzufolge ist sicherzustellen, dass alle Bereiche betrachtet werden. Bei Vorgaben sind diese auch zu kontrollieren und bei Verletzung und Umgehung, zu sanktionieren. Dies spiegelt wieder, dass Informationssicherheit im Unternehmen gelebt und getragen werden muss. Wobei den Mitarbeitern die oben schon erwähnte Stellung eingeräumt werden muss, da für sie Regelungen auch einschränkend wirken und somit die Gefahr steigt diese zu umgehen, um sich als Mensch zu sehen und entfalten zu können. Dabei spielen rechtliche Forderungen eine wichtige Rolle. So bestehen Haftungsrisiken für die Unternehmensleitung aber auch für Mitarbeiter, bei Verstößen. Wer Informationssicherheit richtig im Unternehmen etabliert und seine Auswirkungen auf andere Bereiche berücksichtigt und richtig bewertet, kann so auch Wettbewerbsvorteile generieren und sichern. Beispielsweise verdeutlicht dies der oben beschriebene Zusammenhang zwischen Qualität und ITIL. So werden Kunden und bezogene Leistungen zufriedenstellend bereitgestellt und bei Störung nach genauem Muster, durch Standardisierung, abgearbeitet. Des weiteren kann mit Hilfe von ITIL durch Kennzahlen die Prozesse abgebildet werden. Eines wurde in dieser Betrachtung ausgeblendet die benötigten Ressourcen zur Implementierung und Sicherstellung. Mitarbeiter dürfen in diesem Zusammenhang nicht überfordert und überlastet werden durch neue Tätigkeitsbereiche und der finanzielle Aufwand muss gesichert sein. So ist es sinnvoll eine NutzenKostenAnalyse für das gewünschte Sicherheitsniveau durchzuführen. Da jede höhere Stufe sehr viel mehr an finanziellen Mitteln erfordert. Das Optimum ist im Schnittpunkt von Kosten und Nutzenkurve erreicht und stellt das optimale Sicherheitsniveau dar.49 3 Bewusstsein von ITSicherheit, ITIL und Qualität in der Praxis 3.1 Inhalte und Auswertung Mittels einer Umfrage sollten die teils theoretischen Inhalte und die Erfahrungen in der Praxis versucht werden zu validieren. Die Umfrage wurde in drei Teilbereiche gegliedert, die die 49 Vgl. Breitner/Pomes (2005), S. 23f Informationssicherheit als Qualitätsmerkmal eines ITService nach ITIL 3.1 Inhalte und Auswertung Seite 19 Struktur der Arbeit abdecken soll. Die Schwerpunkte dabei lagen auf Informationssicherheit, ITIL und Servicequalität im Zusammenhang mit den beiden anderen Bereichen. Adressaten waren CIO's von Unternehmen mit unterschiedlicher Größe in Deutschland. An der Umfrage beteiligten sich elf CIO's, wobei nicht jeder alle Fragen beantwortet hat. Bezüglich des Umfangs der Arbeit sind alle hier vorgestellten Ergebnisse graphisch im Anhang abgebildet sowie der Fragebogen selbst.50 Im ersten Teil wurden Fragen zur Informationssicherheit gestellt und die die angesprochen Aussagen bekräftigen. So wurden auch hier die eigenen Mitarbeiter als größtes Bedrohungspotenzial eindeutig bestimmt, gegenüber externen Personen. Des weiteren wurde die Einschätzung zu den Aspekten der Informationssicherheit hinterfragt. Die Ergebnisse zeigen, dass rechtlichen Anforderungen den benötigten Stellenwert im Unternehmen zugeordnet wird, jedoch das Risiko meist unterschätzt wird . Der Mitarbeiter, so die Teilnehmer, lassen sich schwer sensibilisieren und begründet somit die oben gegeben Bedrohung für das Unternehmen. Im technischen Bereich verwenden fast alle Hard und Software zur Absicherung. Die Hälfte verschlüsselt die Daten und alle verwenden eine Firewall und außer einem Teilnehmer auch Virensoftware. Im organisatorischen Bereich fallen die Ergebnisse schlechter aus. Es setzen nur die Hälfte der Befragten ITSicherheitsrichlinien ein, die restlichen gaben an dies bewusst abzulehnen. Ein ähnliches Bild ergab sich bei der Regelung von privater Nutzung bei Mobilen Endgeräten in den Unternehmen. Die Teilnehmer wurden zudem befragt durch welchen Personenkreis Schaden entstanden ist und in welcher höher, falls dies bekannt war. Es stellte sich heraus das von acht Unternehmen sechs mit Sicherheitsvorfällen im Unternehmen zu tun hatten, in einem Unternehmen sogar von Innen und Außen. Nur zwei gaben an, dass keine Vorfälle aufgetreten sind. Die sich daraus ergebenden Schadenshöhen sind nicht außer acht zu lassen. Fünf beteiligte gaben an einen Schaden zwischen 1.000 und 10.000 Euro beziffern zu können, drei sogar über 10.000 Euro. Einem Unternehmen war es nicht bekannt und ein anderes konnte den Vorfall nicht bewerten, beispielsweise ein Reputationsverlust. Ein Unternehmen erlitt keinen Schaden. 50 Die Befragung selbst hat Online und konnte so ohne Einflüsse des Verfassers beantwortet werden. Geschaltet ist die sie unter http://www.zapfonline.de.vu mit den Zugangsdaten ITIL und dem Passwort Umfrage. Informationssicherheit als Qualitätsmerkmal eines ITService nach ITIL 3.1 Inhalte und Auswertung Seite 20 Im zweiten Themenbereich wurden ITIL spezifische Fragen gestellt. Dabei ist das Rahmenwerk, in Version 2, neun von zehn beteiligten bekannt gewesen. Version drei kannten bereits sieben. Vier der befragten Unternehmen setzten ITIL im Unternehmen ein und zwei weitere planen es. Die Hälfte der Teilnehmer gaben an nach ITIL zertifiziert zu sein. Es wurde weiterhin gefragt, ob die Teilnehmer ITIL weiter empfehlen würden und ob der Standard die gesetzten Ziele erreicht hat. Sechs von sieben würden ITIL weiter empfehlen und ein Teilnehmer war sich unsicher. Zwei von fünf gaben an, dass die gesteckten Ziele erreicht wurden, zwei waren sich unsicher und in einem Unternehmen wurde dies nicht erfüllt. Die letzte Frage bezog sich auf die Servicequalität und ihrem Zusammenhang zu anderen Faktoren. Fünfzig Prozent gaben dabei an, dass die Qualität abhängig von der IT ist. Den Bereich Informationsicherheit stellten achtzig Prozent als positiv beeinflussend heraus, von einem Teilnehmer wurde dieser Zusammenhang strikt abgelehnt. Der Einfluss von ITIL bezifferten siebzig Prozent als positiv, zwanzig bestätigten dies teilweise und ein Teilnehmer lehnte dies strikt ab. Bei der Frage ob Servicequalität sich nur durch Transparenz der Prozesse darstellen lässt, gaben fünfzig an dies treffe zu und die restlichen Teilnehmer bestätigtes dies teilweise. Die Umfrage und deren Ergebnisse decken sich mit denen von größeren wie von Materna51 oder KES52. Die Ergebnisse zeigen auf, dass es noch Handlungsbedarf besteht. So kann ein eingetretener Vorfall und dessen Schadenshöhe verheerende Konsequenzen nach sich ziehen. Auch wenn die Umfrage ergab, dass gesetzliche Regelungen beachtet werden, so mangelt es an der Umsetzung im Unternehmen. Was sich teilweise durch die relative Hohe Anzahl von Sicherheitsvorfällen von innen heraus begründet. So ist meist nur technische Sicherheit ausgereift und findet weite Anwendung in Unternehmen. Jedoch durch die fehlenden gelebten Richtlinien sind diese Maßnahmen nur wirksam zum Schutz von Außen, obwohl der eigene Mitarbeiter als größte Gefahrenquelle selbst identifiziert wurde. Die Gelder die nach einem Vorfall benötigt werden, sollten lieber vorbeugend eingesetzt werden. So wie es im Kapitel 2.5 angedeutet wurde. 51 http://www.materna.de 52 htttp://www.kes.de Informationssicherheit als Qualitätsmerkmal eines ITService nach ITIL 3.1 Inhalte und Auswertung Seite 21 Im nächsten Kapitel soll mit Hilfe der ITILEinführung aufgezeigt werden, welche Potentiale im Rahmenwerk selbst stecken und wie diese im Unternehmen umgesetzt werden können. 4 ITIL und die Einführungsproblematik in Unternehmen 4.1 Anforderungsanalyse Der Bekanntheitsgrad und die Implementierungsrate von ITIL steigt, was zum Teil aus der oben dargestellten Studie ersichtlich ist. Es muss jedoch beachtet werden, dass ITIL kein Tool ist sondern eine Verfahrensbibliothek. Diese kann helfen, Verbesserungen bezüglich Transparenz und Qualität im Unternehmen zu erzielen. Es sind dabei nicht die einzigen Gründe für eine Implementierung von ITIL. Durch ITIL wird es geschafft, dass alle im Unternehmen Abbildung 5: Vorteile von ITIL Quelle: Pütter (2006), S.1 an einem Strang ziehen und auch Schwachstellen aufgezeigt werden können.53 Weiterhin kann das vorhandene Wissen im Unternehmen gebündelt werden und so neue Mitarbeiter leichter eingearbeitet werden, aber auch ein Zusammenbruch der IT bei ausscheiden des Administrators verhindert werden.54 Ein weiterer Aspekt ist die Steigerung der Produktivität von Nutzern der IT, wie auch bei den Verantwortlichen, durch die Struktur der Kontaktaufnahme und Abarbeitung von Störungen. Damit sich der Nutzen von ITIL einstellen kann, sind gewisse Sachverhalte zu berücksichtigen. ITIL hat teilweise die gleichen Anforderungen wie jedes andere einzuführende ITProjekt, aber 53 Vgl. Schmitt (2005), S. 1f 54 vor allem in kleineren Unternehmen Informationssicherheit als Qualitätsmerkmal eines ITService nach ITIL 4.1 Anforderungsanalyse Seite 22 auch Besonderheiten. In den ersten Kapiteln wurde deutlich, dass der Mensch ein sehr feinfühliges und mitwirkendes Individuum im Unternehmen ist. Die Ressource Mensch muss Abbildung 6: Größte Hürden für die Implementierung von ITIL Quelle: Pütter (2007), S.1 daher besonders berücksichtigt werden bei der Einführung, Umsetzung und auch bei der Wirksamkeit von Maßnahmen, aber auch bei neuem geplanten Vorhaben. Ein Projekt ist stark abhängig von den Mitarbeitern und Ihrer Akzeptanz und der Aufklärung gegenüber Neuen. Hierbei ist auch zu berücksichtigen, dass es sich bei ITIL um ein Organisationsprojekt handelt und somit auch ein Wandel der Unternehmenskultur mit sich bringt. Um dies zu realisieren ist eine ITILEinführung nur Topdown realisierbar, das heißt das oberste Management muss dies mit Tragen und initialisieren. So muss an und mit den Mitarbeiter kommuniziert werden warum ITIL eingesetzt werden soll, über Medien wie Portale, FAQ's, Roadshows.55 Durch die weitreichenden Änderungen von ITIL im und für das Unternehmen sind auch andere Bereiche des Unternehmens frühzeitig mit ins Boot zu nehmen, um so Synergiepotentiale zu entfalten und Ablehnung zu verringern.56 Des weiteren sind die Projektverantwortlichen entsprechend zu schulen, dabei ist auch die Wahl des Anbieters zu beachteten, denn dies entscheidet über die Qualität. Diese ist wichtig für die Aufnahme der Prozesse im Unternehmen, hilfreich hierbei ist die Toolunterstützung. Dabei ist zu beachten, dass die Prozesse zuerst definiert werden und bei der Toolauswahl auch Mitarbeiter 55 Vgl. Materna Monitor (02/2007), S. 15ff 56 Vgl. Greiner (2006), S. 3 Informationssicherheit als Qualitätsmerkmal eines ITService nach ITIL 4.1 Anforderungsanalyse Seite 23 mit entscheiden sollten, da diese damit arbeiten werden.57 Aber auch finanzielle und zeitliche Ressourcen sind zu prüfen und deren Verfügbarkeit sicherzustellen. So soll auch kein Mitarbeiter in der IT nachher mehr Arbeit erledigen müssen Abbildung 7: Hürden bei der Implementierung von ITIL Quelle: Greiner (2006), S. 2 als zuvor, denn darunter leidet die Qualität und die Motivation. ITIL möchte die Tätigkeiten ja effektiver gestalten. Die aufgezeigten Fehlerquellen aus Studien und der Projekterfahrungen sollten in die Planung aufgenommen werden, so können einige von ihnen im Vorfeld umgangen werden. So sollte einer erfolgreichen Einführung nichts entgegenstehen. Es ist vor allem wichtig eine klare Zielsetzung mit Realismus und Kontrollen zu haben.58 4.2 Vorstellung einer erfolgreichen Vorgehensweise Für das Vorgehen für die Implementierung von Version 2 gibt es verschiedene Phasenmodelle. Folgende Grafik verdeutlicht alle wichtigen Punkte. Die Vorgehensweise unterscheidet sich nicht von anderen Projekten. Nur ist bei ITIL auszuwählen was implementiert werden soll. Diese Anpassungsmöglichkeiten an das Unternehmen sichert ITIL die nötige Flexibilität und trägt zu deren weiteren Verbreitung bei. Durch die Umgestaltung von ITIL in Version 3 und den Lifecycle ergibt sich ein anderes Vorgehen, da nun nicht mehr der Prozess im Vordergrund steht wie es im Kapitel 2.2.1 dargestellt wurde. Dabei stellt der Lebenszyklus das Vorgehensmodell 57 Vgl. Schmitt (2005), S. 3 58 Vgl. Schmitt (2005), S. 2 Informationssicherheit als Qualitätsmerkmal eines ITService nach ITIL 4.2 Vorstellung einer erfolgreichen Vorgehensweise Seite 24 selbst dar, wie in Abbildung 3 zu sehen ist. Mit dieser sukzessiven Beschäftigung und Abarbeitung der einzelnen Teilbereiche gelangt man stückweise zur Implementierung. Diese Neugestaltung gibt den Unternehmen gleich eine Leitpfaden an die Hand und versucht damit dem gesetzten Ziel die Einführung zu erleichtern und einen Beitrag zu leisten. Die einzelnen Inhalte sind in Tabelle 4 nachzulesen. Aber wie auch in Version 2 kann nicht alles Abbildung 8: Phasenmodell zur ITIL Implementierung Quelle: Püttner (2007) beziehungsweise ist es nicht nötig alles zu Implementieren. Somit bleibt die Flexibilität des Rahmenwerkes erhalten. Die Einstiegs und Entscheiungspunkte für ITIL werden immer noch im Service Support zu finden sein, diese können dann bei Bedarf stückweise erweitert werden. Die neue Struktur enthält nicht nur den Weg zu Implementierung, sondern auch zur ständigen Verbesserung. Dies ist für ein Lebenszyklus unumgänglich, jedoch ist es jetzt durch die einzelne Betrachtung in ITIL stärker hervorgehoben. 4.3 Informationssicherheit und Qualitätssicherung Wie auch in Version 2 ist die sicherste Implementierung der Informationssicherheit durch die Norm ISO 20000. In Abbildung 9 sind Gründe dafür zu sehen. Qualität wurde im Kapitel 2.3 besprochen und im Zusammenhang mit der Norm ISO 9000. „Der ISO 20000 Standard schlägt die Brücke von ISO 9000:2000 im Aufbau von Qualitätsmanagementsystemen hin zur wirksamen Umsetzung des ITService Managements gemäß ITIL...“59 Über diesen Standard werden Mindestanforderungen definiert und Empfehlungen für die Weiterentwicklungen des ServiceManagements gegeben. Dies kann genutzt werden zur Selbstbewertung oder Zertifizierung für das Unternehmen. Der Standard 59 KBSt (2006), S. 18 Informationssicherheit als Qualitätsmerkmal eines ITService nach ITIL 4.3 Informationssicherheit und Qualitätssicherung Seite 25 beschäftigt sich neben den ITILProzessen Service Support, Service Delivery, Busines Relationship und Supplier Management, auch mit dem Security Management. Dies wurde im Kapitel 2.2.2, im Zusammenhang von Informationssicherheitetablierung in ITIL beschrieben. Eine direkte Implementierung und Sicherung der Informationssicherheit im Unternehmen kann Abbildung 9: Vorteile von Zertifizierungen Quelle: Pütter (2007), S. 1 über die im Kapitel 2.1.3 angesprochen Standard des BSI über den ITGrundschutz realisieren oder über ISO 27001. Beide geben genaue Inhalte vor mit deren Hilfe Informationssicherheit im Unternehmen sichergestellt werden kann. Die Servicequalität kann so, über den dargestellten Zusammenhang im Kapitel 2.3.2, Einzug in das Unternehmen mit Hilfe von ITIL erhalten. 5 Fazit und Ausblick Die aufgezeigten Argumente und Positionen stellen heraus, dass Informationssicherheit für Unternehmen ein sehr wichtiges Gebiet darstellt. So kann das Unternehmen nur profitieren, wenn die Umsetzung der Maßnahmen mit Ausgaben verbunden ist. Nur durch die Sicherstellung der IT ist es möglich so störungsarm wie möglich seinen Visionen im Unternehmen zu verfolgen. Voraussetzung ist die richtige Stellung im Unternehmen und die Beachtung der Menschen. Diese Ressource des Unternehmens hat einen sehr großen Einfluss auf die Sicherstellung der Informationssicherheit, dies wurde an den nötigen Punkten versucht zu verdeutlichen. Mit Hilfe von Informationssicherheit kann die richtige Sichtweise etabliert werden. Dabei ist ITIL sehr hilfreich. Die Neuerungen des Rahmenwerkes trägt dazu bei, dass Informationssicherheit als Qualitätsmerkmal eines ITService nach ITIL 5 Fazit und Ausblick Seite 26 diese vielschichtige und komplexe Verfahrensbibliothek eine Struktur bekommt. Diese war in der Version 2 für Einsteiger schwierig zu finden und bezog sich bei der Umsetzung nur auf einzelne Bereiche. Das Zusammenwirken von Informationssicherheit und ITIL ist nicht ohne tiefere Betrachtung erkennbar. Es wirken immer Teilbereiche von ITIL auf die Informationssicherheit, aber ohne eine genaue Hinterlegung kann dies im Unternehmen nicht einheitlich verstanden werden. Für Unternehmen gibt ITIL somit die Chance Informationssicherheit nicht nur auf einzelne Bereiche, Prozesse und Tätigkeiten zu konzentrieren, sondern erhält die Möglichkeit der Lenkung und Steuerung von Geschäftsprozessen und Services. Dies bietet den Vorteil das Kunden durch diese spürbare Verkettung profitieren. Das Unternehmen selbst kann kritische Prozesse bei Partnern feststellen und versuchen diese abzusichern, um Gefahrenquellen zu verhindern. ITIL ohne den Gedanken an Informationssicherheit, dann fehlt eindeutig die Sicherstellung der vereinbarten Services, denn die Qualität kann ohne diese nicht tief gehend etabliert werden. Unternehmen, die sich nicht auf Kundenanforderungen und wünsche einstellen und sichern können, werden auf lange Sicht starke Wettbewerbsnachteile haben. Diese Fähigkeit der Flexibilität in vielen Bereichen stellt für Unternehmen eine große Herausforderung dar. Damit diese sich aber nicht negativ für das Unternehmen auswirken, ist Informationssicherheit ein wichtiger Teilaspekt, der durch ITIL noch tiefer berücksichtigt wird. Die Fragestellung dieses Themas ist mit einem eindeutigen ja zu beantworten. Die Begründung jedoch nur schwer aufzuzeigen. Dies kann in der Umfrage gesehen werden, dass die Befragten aus der Praxis den Zusammenhang klar herausstellten. Wie oben verdeutlicht wurde, ist eine umfassende Umsetzung Einflussnahme auf ITServices möglich, mit der Hilfe von ITIL. Durch die Anwendung des Rahmenwerkes können so die Auswirkungen und Erfolge von Informationssicherheit mit Kennzahlen abgebildet werden. Diese sollten dazu genutzt werden die Wirksamkeit festzustellen und Risiken durch Schwachstellen so früh wie möglich zu erkennen und schwerwiegende Folgen verhindern. Um eine Zeichen nach Außen zu setzen, kann die Umsetzung eines Qualitätsmanagements zertifiziert werden. Informationssicherheit als Qualitätsmerkmal eines ITService nach ITIL 5 Fazit und Ausblick Seite 27 Informationssicherheit und die gewonnenen Erkenntnisse der Einflussnahme auf die Qualität Aussagen bezüglich Qualität Servicequalität ist unabhängig von der IT, somit auch von IT Sicherheit und ITIL ITSicherheit wirkt sich Positiv auf die Servicequalität, für interne und externe Kunden aus ITIL und sein Servicegedanke unterstützen den Qualitätsgedanke Servicequalität lässt sich nicht ohne Transparenz der Prozesse messen 0 1 2 3 4 5 6 7 8 9 10 Stimme ich nicht zu Stimme ich teilweise zu Stimme ich voll zu Abbildung 10: Angaben bezüglich Qualität Quelle: eigene Umfrage sollten Unternehmen und dessen Verantwortliche Anreiz und Motivation geben, sich tiefer mit der Problematik zu beschäftigen, ohne dass der Gesetzgeber dies in Vorschriften festhalten muss. Diese sollten eher als Mindestanforderungen betrachtet werden und nicht als einfordernde Umsetzungsvorschrift. Die Notwendigkeit der Veränderung der Sichtweise ist nötig, um den gesetzliche Regelungen, die immer einen Anspruch an Informationssicherheit haben, hinterherzuhetzen. So können sich Unternehmen Gestaltungsmöglichkeiten schaffen und sich ganz entscheidend von ihren Mitbewerbern abheben. Möglich ist dies aber nur, durch eine Einstellung die Informationssicherheit nicht als notwendiges übel ansieht, sondern als einen Vorteil für das Unternehmen bei gezielter Umsetzung. Dies kann genauso auf die Implementierung von ITIL bezogen werden mit seiner Servicebetrachtung. Informationssicherheit als Qualitätsmerkmal eines ITService nach ITIL 6 Literaturverzeichnis Seite 28 6 Literaturverzeichnis Bause, M. (2006a). ITIL V.3 – Innovation oder Aufguß. In: Serview Editorial. Erstelldatum: 2006. Druckdatum 05/2007 URL: http://www.itsmi.de/content/image/mb_editorial3.pdf Bause, M. (2006b). ITITL V.3 – Die Verunsicherung ist groß!. In: Serview Editorial. Erstelldatum: 2006. Druckdatum: 05/2007 URL: http://www.serview.de/content/unternehmen1/presse/servieweditorial BITKOM (2005a). Unternehmen unterschätzen Haftungsrisiko bei der ITSicherheit. Erstelldatum: 03/2005. Druckdatum: 05/2007. URL: http://bitkom.de/files/documents/PI_ITSicherheit10_03_2005_final.pdf BITKOM (2005b). Matrix der Haftungsrisiken – ITSicherheit – Pflichten und Risiken, Erstelldatum: 03/2005, Druckdatum: 05/2007 URL: http://bitkom.de/files/documents/BITKOM_Leitfaden_Matrix_der_Haftungsrisiken V1.1f.pdf Breitner, M. H./Pomes,R. (2005). ITSicherheit –Kein Selbstzweck, sondern Notwendigkeit. In IZN Mail. Heft 4 (H 45664). S. 2126 von Brocke, J./Budendick, C. (2005). Security Awareness Management — Konzeption, Methoden und Anwendung. In: Wirtschaftsinformatik 2005. S. 12271246 URL: http://springerlink.com/content/l0x6728k333762t7/?p=39075cfd16024fb3a5d46eac94f4159e &pi=0 BSI (2005). ITIL und Informationssicherheit. Erstelldatum: 2005 . Druckdatum: 04/2007 URL: http://www.bsi.de/literat/studien/ITinf/itil.pdf Dierstein, J. (2004). Sicherheit in der Informationstechnik—der Begriff ITSicherheit. In: InformatikSpektrum. Volume 27. Number 4. S. URL:http://springerlink.com/content/13b6x34xu34u9u3h/?p=b0b2a7fdde0c47d4bd1031e94 8bf9fe2&pi=3 Eschweiler, J./Atencio Psille, D.E. (2006). Security@Work. Berlin, Heidelberg. URL: http://springerlink.com/content/n07136/ Federrath, H./Pfitzmann, A. (2006). Handbuch IT in der Verwaltung. Berlin, Heidelberg. URL: http://springerlink.com/content/r17810/ Informationssicherheit als Qualitätsmerkmal eines ITService nach ITIL 6 Literaturverzeichnis Seite 29 Greiner, W. (2006). Herausforderung sichere ITServices Erstelldatum: 06/2006. Druckdatum: 05/2007. URL: http://lanline.de/article.html?thes=&art=/articles/20060S2/30691666_ha_LL.html Hornung, K. (2005). Management der ITSicherheit: David gegen Goliath?. Erstelldatum: 04/2005. Druckdatum:05/2007 URL:http://www.securitymanager.de/magazin/artikel_645_management_der_it sicherheit.html Höfling, J. (2005). Gefühlte ServiceQualitäten Erstelldatum: 08/2005. Druckdatum: 05/2007 URL:http://informationweek.de/showArticle.jhtml?articleID=193002622&queryText=gefüh lte+servicequalitäten Humpert, F. (2004). ITSicherheit. In: M. Mörike (Hrsg.). HDM – Praxis der Wirtschaftsinformatik. ITSicherheit. Stuttgart. S. 7–18 ITIL Refresh News (2006). ITIL Refresh News (2006) Erstelldatum: Herbst 2006. Druckdatum: 06/2007 URL:http://www.bestmanagementpractice.com/officialsite.asp?FO=1241696&DI=579370 KBSt (2006). ITIL und Standards für ITProzesse Erstelldatum 08/2006. Druckdatum: 05/2007 URL: http://www.kbst.bund.de/cln_046/nn_991292/SharedDocs/Anlagen kbst/itil__und__standards__fuer__it__prozesse,templateId=raw,property=publicationFile.pd f/itil_und_standards_fuer_it_prozesse.pdf Köhler, P (2006). ITIL Das ITServicemanagement Framework. Berlin, Heidelberg. URL:http://springerlink.com/content/p6r412/?p=2d852a4d9f64453da3ac28e1a45ba0a2&pi =1 Materna (2007). ITITLkomformes ITServiceManagement – Eine Einfürhung Erstelldatum: 2007. Druckdatum: 05/2007 URL:http://www.materna.com/nn_65998/SharedDocs/Dokumente/Downloads/DE/ITSM/IT ILPocketbrosch_C3_BCre,templateId=raw,property=publicationFile.pdf/ITIL Pocketbroschuere Materna Monitor (01/2007). Erstelldatum: 01/2007. Druckdatum: 04/2007 URL:http://www.materna.com/nn_19530/SharedDocs/Dokumente/Presse__und__Events/M onitor/DE/2007/200701,templateId=raw,property=publicationFile.pdf/200701 Informationssicherheit als Qualitätsmerkmal eines ITService nach ITIL 6 Literaturverzeichnis Seite 30 Materna Monitor (02/2007) Erstelldatum: 06/2007. Druckdatum: 06/2007 URL:http://www.materna.com/nn_19530/SharedDocs/Dokumente/Presse__und__Events/M onitor/DE/2007/200702,templateId=raw,property=publicationFile.pdf/200702 Niedermeier, R./Junker, M. (2004). Rechtliche Pflichten im Bereich der ITSicherheit : Leitfaden. München. Heussen Rechtsanwaltsgesellschaft. Druckdatum: 06/2007 URL: http://www.surfcontrol.com/general/guides/SurfControl_RechtlicherLeitfaden.pdf Ostler, U. (2006). Die Beschreibung der ITProzesse erhält einen WieAkzent. Erstelldatum: 12/2006. Druckdatum: 05/2007 URL:http://www.searchnetworking.de/themenkanaele/einfuehrunginnetzwerke/leitfaeden/ar ticles/50267/ Pütter, C. (2007). Implementierung kostet erst einmal Zeit und Geld Deutsche und Briten sind ITILEuropameister Erstelldatum: 01/2007. Druckdatum: 05/2007 URL: http://www.cio.de/knowledgecenter/it_integration/831476/index.html Sauer, J. (2005). Sicherheitsrichtlinien im Vergleich. Erstelldatum: 07/2005. Druckdatum: 05/2007 URL: http://lanline.de/article.html?thes=&art=/articles/20050S3/30460614_ha_LL.html Statistisches Bundesamt (2007). IKT in Unternehmen Erstelldatum: 02/2007. Druckdatum: 06/2007 URL:https://www.ec.destatis.de/csp/shop/sfg/bpm.html.cms.cBroker.cls?CSPCHD=000100 01000142gqi5uo000138481767&cmspath=struktur,vollanzeige.csp&ID=1019869 Sunner, M. (2007). Gefahr erkannt, aber nicht gebannt?. Erstelldatum: 02/2007. Druckdatum: 05/2007. URL:http://www.securitymanager.de/magazin/artikel_1354_gefarhr_erkannt_aber_nicht_ga bannt.html Wisotzky, H.H. (2007). Vom Prozess zum Service. Erstelldatum: 02/2007 Druckdatum: 05/2007 URL:http://www.searchnetworking.de/themenkanaele/einfuehrunginnetzwerke/leitfaeden/ar ticles/57594/ Informationssicherheit als Qualitätsmerkmal eines ITService nach ITIL 7 Anhang 7.1 Umfrage von CIO.de 7.2 ITIL Version 2 Quelle: OGC Seite III Informationssicherheit als Qualitätsmerkmal eines ITService nach ITIL 7.3 Fragebogen Seite IV Informationssicherheit als Qualitätsmerkmal eines ITService nach ITIL Seite V Informationssicherheit als Qualitätsmerkmal eines ITService nach ITIL Seite VI 7.4 Auswertung: Teilbereich 1 ● Frage 1: Größe des Unternehmens Unternehmensgröße Mitarbeiteranzahl 1 bis 20 20 bis 200 über 200 0 ● 1 2 3 4 5 6 7 8 Frage 2: Sicherheitsrisiken in Ihrem Unternehmen Sicherheitsrisiken Mobile Endgeräte WLAN und die Benutzung sehr gering gering mittel hoch Unerlaubte Softwareinstallation durch Mitarbeiter, sehr hoch Benutzung des Internets durch Mitarbeiter 0 2 4 6 8 10 12 Informationssicherheit als Qualitätsmerkmal eines ITService nach ITIL ● Seite VII Frage 460: Bedrohungen durch unberechtigten Zugriff auf Daten Bedrohungspotential sehr hoch hoch Hacker / Industriespionag e Externe Dienstleister oder Partner Eigene Mitarbeiter mittel gering sehr gering 0 ● 1 2 3 4 5 Frage 5: Rechtliche, organisatorische und technische Herausforderungen Herausforderungen Unser Management hat ein zu geringes Risikobewusstsein Stimme ich nicht zu Es ist schwierig Mitarbeiter zu sensibilisieren Stimme ich teilweise zu Stimme ich voll zu Risiken sind schlecht einzuschätzen Rechtliche Aspekte zur ITSicherheit haben den benötiigten Stellenwert im Unternehmen Bei Kombination von verschieden Komponenten besteht vielmals eine 0 ● 1 2 3 4 5 6 7 8 9 10 11 Frage 6: Eigene Schutzmaßnahmen und Regularien im Unternehmen Eingesetzte Schutzmaßnahmen IT-Sicherheitsrichtlinie Richtlinie für den Umgang mit Mobilen Endgeräten (private Nutzung, VPN bewusst abgelehnt geplant nicht eingesetzt teilweise realisiert wird verwendet Verschlüsselung von Daten Zugriffsbeschränkungen (technisch und räumlich) Firewalleinsatz Virenschutz Netzwerküberwachung 0 1 2 3 4 5 6 7 8 60 die Frage 3 wurde gelöscht bevor die Befragung gestartet wurde 9 10 11 Informationssicherheit als Qualitätsmerkmal eines ITService nach ITIL ● Seite VIII Frage 7: Sicherheitsvorfälle im eigenem Unternehmen verursacht durch Sicherheitsvorfälle Anteile von Sicherheitsvorfällen Eigene Mitarbeiter Eigene Mitarbeiter externe Personen (Hacker, Schadsoftware kein Vorfall bekannt externe Personen (Hacker, Schadsoftware) kein Vorfall bekannt 0 ● 0,5 1 1,5 2 2,5 Frage 8: Schadenshöhe Schadenshöhe keiner nicht bekannt bis 1.000€ zwischen 1.000 und 10.000 über 10.000 nicht monetär bewertbar, wie Repuationsverlu 0 1 2 3 4 5 Teilbereich 2 ● Frage 911: Fragen rund um ITIL hier wurden nicht all gestellten Fragen beantwortet ITIL Ist Ihnen ITIL als defacto Standart bekannt? nicht vor Ist Ihnen ITIL Version 3 bekannt? geplant nein ja Verwenden Sie im Unternehmen ITIL? Sind Sie nach ITIL zertifiziert? 0 1 2 3 4 5 6 7 8 9 10 3 3,5 4 Informationssicherheit als Qualitätsmerkmal eines ITService nach ITIL Seite IX Aussagen von ITIL-Anwender unsicher nein Zielerreichung ja Weiterempfehlung 0 1 2 3 4 5 6 7 Teilbereich 3 ● Frage 12: Haben ITIL und ITSicherheit Einfluss auf die Servicequalität im Unternehmen Aussagen bezüglich Qualität Servicequalität ist unabhängig von der IT, somit auch von IT Sicherheit und ITIL ITSicherheit wirkt sich Positiv auf die Servicequalität, für interne und externe Kunden aus ITIL und sein Servicegedanke unterstützen den Qualitätsgedanke Servicequalität lässt sich nicht ohne Transparenz der Prozesse messen 0 1 2 3 4 Stimme ich nicht zu Stimme ich teilweise zu Stimme ich voll zu 5 6 7 8 9 10