Das passende Sicherheitskonzept finden Bei der IT-Sicherheit fehlt oft das richtige Maß

Autor / Redakteur: Dr. Gerald Spiegel und Wolfram Funk, Steria Mummert Consulting / Stephan Augsten

44 Prozent der deutschen IT-Verantwortlichen sind mit den aktuellen Regelungen zur IT-Sicherheit in ihrem Unternehmen unzufrieden. Oft fehlt das Wissen um geeignete Sicherheitskonzepte.

Anbieter zum Thema

Viele IT-Verantwortliche sind mit dem Sicherheitskonzept ihres Unternehmens nicht zufrieden.
Viele IT-Verantwortliche sind mit dem Sicherheitskonzept ihres Unternehmens nicht zufrieden.

Bei der Gewährleistung der IT-Sicherheit besteht Handlungsbedarf – diese Einschätzung teilen viele deutsche Unternehmen. So schätzt jedes dritte Unternehmen die Gefahr, die von Wirtschaftsspionage ausgeht, als hoch ein, wie die Studie „IT-Security“ von Steria Mummert Consulting ergab. Vor allem Banken und generell Führungskräfte sehen hierin ein Risiko.

Allerdings wird die IT-Sicherheit nicht nur durch kriminelle Energie bedroht. Gerade durch den zunehmenden Einsatz mobiler Endgeräte, aber auch durch die Internetnutzung am Arbeitsplatz, hat sich das Gefährdungspotenzial deutlich erhöht.

Durch automatische Updates oder den sorglosen Einsatz der technischen Geräte können Lücken in der IT-Sicherheit schnell zu Produktionsausfällen bis hin zu rechtlichen Konsequenzen führen. Letztere haben meist auch einen nicht unerheblichen Imageverlust für das Unternehmen zur Folge.

Es gibt kein einheitliches Sicherheitskonzept

Viele Unternehmen haben jedoch noch nicht die geeigneten Maßnahmen gefunden, um sich effektiv gegen diese Gefahren abzusichern, wie die von Steria Mummert Consulting durchgeführte Studie zeigt. Demnach sind 44 Prozent aller IT-Verantwortlichen unzufrieden mit den derzeitigen Regelungen zur IT-Sicherheit in ihrem Unternehmen.

Fast die Hälfte der IT-Verantwortlichen sieht Nachholbedarf bei Überwachung und Kontrolle.
Fast die Hälfte der IT-Verantwortlichen sieht Nachholbedarf bei Überwachung und Kontrolle.

Uneinigkeit herrscht bei der Beurteilung des Status quo: Während ein Fünftel die gegenwärtigen Maßnahmen zur IT-Sicherheit in ihrem Unternehmen als unzureichend kritisiert, hält ein Viertel die Regelungen für übertrieben. Die unterschiedliche Bewertung macht deutlich: Ein einheitliches Konzept, das für alle Unternehmen gleichermaßen gilt, gibt es nicht.

Konzepte zur IT-Sicherheit müssen vielmehr an die spezifischen Voraussetzungen des jeweiligen Unternehmens angepasst werden. Dazu zählen die Größe des Unternehmens beziehungsweise des Informationsverbundes ebenso wie die personellen Ressourcen.

Auswirkungen mangelnder IT-Sicherheitskonzepte

Davon sind viele Unternehmen jedoch noch weit entfernt – sei es aufgrund von Zeitmangel, fehlendem Know-how oder zu geringem Budget. Im Unternehmensalltag führt dieses Fehlen eines passgenauen IT-Sicherheitskonzepts oftmals zu folgenden Auswirkungen:

  • Fehlende Diagnose von Sicherheitsproblemen
  • Sicherheitsprobleme in der IT werden zu spät oder gar nicht erkannt. Dadurch fällt es den Unternehmen schwer, geeignete Gegenmaßnahmen zu ergreifen. Außerdem vergeben sie damit die Chance, sich durch Präventivmaßnahmen, wie zum Beispiel die sichere Konfiguration von IT-Systemen und Netzwerkkomponenten, künftig gegen entsprechende Risiken abzusichern.
  • Fehlende Dokumentation von relevanten Ereignissen
  • Ereignisse, die Auswirkungen auf die IT-Sicherheit haben, werden nicht dokumentiert. Damit können diese Vorgänge im Nachhinein nicht oder nur schwer zurückverfolgt werden. Dies behindert nicht nur die Einleitung präventiver Maßnahmen, sondern erschwert auch die sogenannte Forensik, also das Aufspüren krimineller Handlungen im Umfeld der Unternehmens-IT.
  • Fehlende Kontrolle der erhobenen Daten
  • Die IT-Verantwortlichen wissen gar nicht, was wo protokolliert wird. Dadurch werden zum Teil gewaltige Datenmengen gesammelt, ohne dass diese verarbeitet und ausgewertet werden. Dies belastet nicht nur die Speicherkapazitäten unnötig, sondern kann auch rechtliche Konsequenzen nach sich ziehen, wenn damit die Vorschriften des Bundesdatenschutzgesetzes zur Erhebung und Löschung personenbezogener Daten verletzt werden.
  • Fehlende Sicherung der erhobenen Daten
  • Unternehmen verfügen nicht über ein Konzept zur geräteübergreifenden Datensicherung. Stattdessen werden die Logdaten auf dem Gerät gespeichert, auf dem sie erhoben werden. Bei einem Systemausfall ist die Ursache damit nur schwer zu ermitteln.
  • Fehlende Auswertung der erhobenen Daten
  • Die Auswertung und Korrelation der erhobenen Logdaten ist zu komplex oder zu aufwändig. Deshalb werden sie vor allem für forensische Zwecke, nicht aber zur Optimierung alltäglicher Sicherheitsverfahren genutzt.

Unternehmen setzen auf Standardlösungen

Wollen die Unternehmen diese Auswirkungen fehlender IT-Sicherheitskonzepte vermeiden, benötigen sie eine IT-Compliance, in der die gesetzlichen Anforderungen ebenso berücksichtigt werden wie die spezifischen Voraussetzungen des Unternehmens. Laut der Studie „IT-Security“ ist dies aber mehrheitlich nicht der Fall.

Nur die wenigsten IT-Verantwortlichen behalten demnach angesichts der Vielfalt der gesetzlichen Anforderungen (u.a. BDSG, MaRisk, SOX, PCI DSS) den Überblick und sind in der Lage, aus diesen die für ihr Unternehmen relevanten Vorgaben zu erkennen und umzusetzen. In der Hoffnung, zumindest die gesetzlichen Vorgaben abzudecken, orientieren sich Unternehmen an Standards wie der ISO-27000-Reihe oder dem IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik (BSI).

Ein Beispiel dafür ist der „Payment Card Industry Data Security Standard“ (PCI DSS). Als verbindliches Regelwerk im Zahlungsverkehr von Kreditkarten wird dieser Standard von allen wichtigen Kreditkartenorganisationen unterstützt. Das Problem: Viele IT-Administratoren in den Unternehmen wissen nicht, welche Parameter an welchen Geräten angewendet werden.

Sie sind damit nicht in der Lage, sich auf die Erhebung der Daten zu beschränken, die für die IT-Sicherheit ihres Unternehmens maßgeblich sind. Das führt zu dem oben skizzierten Problem der fehlenden Datenkontrolle und den möglichen rechtlichen Konsequenzen.

Externer Sicherheitsservice

Wie aber können Unternehmen ihre IT effektiv und verlässlich gegen mögliche Risiken absichern? Die Antwort kann ein externer Service liefern. Auf die IT-Sicherheit spezialisierte Experten überprüfen dabei das IT-System des Unternehmens auf die richtlinienkonforme Konfiguration sowie mögliche Schwachstellen. Dabei wird das System auch hinsichtlich der Konformität mit gängigen IT-Sicherheitsstandards wie zum Beispiel den IT-Grundschutz-Maßnahmenkatalogen des BSI analysiert.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Anschließend passen die Experten das Sicherheitsniveau des Unternehmens ständig den sich verändernden gesetzlichen und regulatorischen Anforderungen an und berücksichtigen dabei auch Ankündigungen möglicher Bedrohungsszenarien. Die Mitarbeiter der entsprechenden Dienstleister werden regelmäßig geschult und verfügen damit über ein Know-how, das sich Unternehmen nur mit großem personellen und finanziellen Aufwand selber beschaffen könnten.

Unternehmen, die bei der Sicherstellung ihrer IT-Sicherheit auf externe Partner setzen, erhalten zumeist ein „Rundum-Sorglos-Paket“, das die Aufsetzung von Überwachungs- und Kontrollprozessen sowie ein regelmäßiges Monitoring umfasst. Damit können Unstimmigkeiten und Bedrohungen der IT-Sicherheit rechtzeitig erkannt und korrigiert werden.

Der Dienstleister benötigt hierfür lediglich eine Schnittstelle für den Fernzugriff auf die erhobenen Daten, firmenfremde Programme müssen nicht auf dem zu prüfenden Gerät installiert werden. Damit verbleiben sämtliche Prüfungsergebnisse im Unternehmensnetzwerk des Kunden und können auf Wunsch in verschiedenen Berichten, zum Beispiel für die interne Revision, ausgewertet werden

Ein externer IT-Sicherheitsservice kann Unternehmen somit mehrere Vorteile bieten: Sie sparen Zeit und Kosten und erhalten einen aktuellen Überblick über das aktuelle Sicherheitsniveau. Durch das Preismodell „Pay per use“ ist zudem die Transparenz bei den Ausgaben gewährleistet. Nicht zuletzt spart das Unternehmen durch die Auslagerung der IT-Sicherheit wertvolle personelle Ressourcen, die für firmeneigene IT-Projekte eingesetzt werden können.

Über die AutorenWolfram Funk und Dr. Gerald Spiegel sind Experten für IT-Sicherheit bei Steria Mummert Consulting.

(ID:34032450)