Suchen

IT-Sicherheit und -Bedrohungen sind allgegenwärtig Fehlendes Risiko-Management stellt nicht nur Unternehmen vor Probleme

| Autor / Redakteur: Martin Kuppinger / Stephan Augsten

Ob im Rahmen von Bankgeschäften und EC-Zahlungen, Online-Gaming und Social Networking oder auch Arztbesuchen und Behördengängen: Auf die eine oder andere Art ist jeder von IT, EDV und den damit verbundenen Risiken betroffen. Das Thema IT-Sicherheit ist also allgegenwärtig – doch was bedeutet das für die Organisationen?

Firmen zum Thema

Jeder ist mittlerweile davon abhängig, dass Unternehmen IT-Risiken erkennen und Gegenmaßnahmen ergreifen.
Jeder ist mittlerweile davon abhängig, dass Unternehmen IT-Risiken erkennen und Gegenmaßnahmen ergreifen.
( Archiv: Vogel Business Media )

Als ich neulich am Bahnhofskiosk vorbeikam, hatte die Frankfurter Allgemeine Sonntagszeitung fast die komplette erste Seite den Sicherheitsproblemen des Bundestrojaners gewidmet. Das ist kein Einzelfall mehr: IT-Sicherheit schafft es immer öfter in die Nachrichten – längst nicht mehr nur in ein paar Fachzeitschriften und anderen Formaten für ein paar IT-Sicherheitsspezialisten.

Das liegt in erster Linie daran, dass die Bedrohungen kontinuierlich ansteigen. Neue Formen von Angriffsszenarien – wie sie mit Stuxnet zu beobachten waren – lassen die Ängste ebenso wachsen wie erfolgreiche Angriffe auf Sony, Mitsubishi und andere Firmen, die in den vergangenen Monaten bekannt geworden sind.

Die Konsequenz ist, dass das Bedrohungspotenzial inzwischen von vielen Menschen verstanden wird. Das hängt natürlich auch damit zusammen, dass man bei der täglichen Computernutzung auch das potenzielle Ziel von Angriffen ist. Phishing, um Kontodaten zu erlangen und andere Formen der Computerkriminalität sind längt ein Teil des Alltags geworden.

Die Angst, selbst ein Opfer von Angriffen zu werden, schwingt immer mit. Und Situationen, in denen auf einmal die Kreditkarte nicht mehr funktioniert und die Bank das (verspätet) damit begründet, dass es Auffälligkeiten gegeben hat – die sich übrigens interessanterweise nicht einmal auf der Kreditkartenrechnung zeigen – sind inzwischen auch keineswegs mehr ungewöhnlich.

In den Unternehmen kommt hinzu, dass der Druck durch gesetzliche und aufsichtsbehördliche Regelungen („regulatory compliance“), Maßnahmen zur Erhöhung der IT-Sicherheit und damit zur Reduktion von Risiken zu ergreifen, kontinuierlich ansteigt.

Wenn der UBS-Chef gehen muss, weil es in seinem Unternehmen einem Händler gelungen ist, aufgrund nicht funktionierender Sicherheitsmechanismen (im konkreten Fall Zugriffsmanagement und Überwachung) einen Milliardenschaden zu verursachen, alarmiert das natürlich auch andere Chefetagen. IT-Sicherheit ist zu einem Risikofaktor auch für die Vorstände geworden.

Risiken und Handlungsbedarf erkennen

Das heißt nicht, dass man nun in Panik verfallen muss, auch wenn die tatsächlichen Bedrohungen wohl eher größer sind, als die allermeisten von uns befürchten. Aber man muss gezielt handeln. Dazu gehört nicht, blind in Technologie zu investieren. Vielmehr sollte man die Risiken identifizieren und darauf basierend gezielte Maßnahmen ergreifen.

Man muss verstehen, welche Informationen und damit welche Systeme und Dienste welche Risiken haben, um Schutzmaßnahmen ergreifen zu können. Schutzbedarfsanalysen nach dem Ansatz des BSI reichen damit längst nicht mehr aus, weil sie nicht ausreichend differenziert sind. Letztlich sollte man verstehen lernen, welche Aktionen auf welche Informationen welchen Schutzbedarf haben – und nicht nur, welches System wie geschützt werden muss.

Letztlich kommt man nicht darum herum Controls zu definieren, um die aktuelle Gefährdungssituation gezielt und fortlaufend analysieren zu können. Die Ergebnisse und Erkenntnisse wiederum müssen in ein Gesamtkonzept der Governance mit einfließen. Dazu gehört die Analyse von Gefährdungen, also von Risiken. Dazu gehört die Definition von Maßnahmen zur Verringerung von Risiken, dazu gehört aber auch eine Planung für Notfallsituationen – und zwar solche, mit denen man gerechnet hat und auch solche, die man nicht erwartet hat.

IT-Sicherheit muss dazu aus ihrer oft noch existierenden Nische kommen. IT-Sicherheit ist natürlich etwas, das eine profunde Expertise erfordert. Aber nur im Rahmen der gesamten GRC-Maßnahmen (Governance, Risk Management, Compliance) kann man wirklich identifizieren, wo man die Schwerpunkte setzen und handeln muss und wo man investiert. Absolute Sicherheit gibt es nicht – das Ziel muss sein, sich auf die Risiken zu konzentrieren und diese gezielt zu adressieren.

Martin Kuppinger ist Gründer des Analystenunternehmens Kuppinger Cole, das sich mit digitalen Identitäten, Identity und Access Management, GRC (Governance, Risk Management, Compliance) und Cloud Computing beschäftigt.

(ID:2053208)