Angewandte Informationssicherheit

Sicherheitsleit- und Richtlinien, welche als Ergebnisse eines Projektes zur Verbesserung der Informationssicherheit als zur Kenntnis genommen abgezeichnet werden (um dann im Regal zu verstauben), sagen erfahrungsgemäß wenig über die tatsächliche Sicherheit im Unternehmen oder der Behörde aus.

Die Möglichkeit, die Wirksamkeit der beschlossenen Maßnahmen zu überprüfen um die „Papiertiger“ zu entlarven, etwa durch die Beauftragung externer Penetrationstests, gestaltet sich für viele Unternehmen problematisch; zum einen möchte man keinem Außenstehenden Einblicke in die eigenen IT- Sicherheit gewähren und zum anderen fehlt oft das technische Verständnis zur Interpretation der Ergebnisse.