In vielen Unternehmen gibt es zwar einen Chief Information Security Officer. Faktisch ist die Verantwortung für die IT-Sicherheit aber auf viele Bereiche verteilt. Netzwerksicherheit, Endpoint Security oder auch Identity- und Access-Management werden isoliert betrachtet. Das verursacht unnötige Kosten.
Wo eine Zentralisierung der IT-Sicherheitsaufgaben nicht infrage kommt, ist eine gute Zusammenarbeit vonnöten.
(Bild: Archiv)
Martin Kuppinger: „IT-Sicherheit erfordert eine strukturierte Analyse der maßgeblichen Risiken.“ (Bild: KuppingerCole)
Sehr viele Unternehmen haben heute einen CISO (Chief Information Security Officer), teils auch als „Leiter IT-Sicherheit“ oder anders betitelt. Oft reichen die Kompetenzen des CISO aber nicht aus, um das Ziel verbesserter IT-Sicherheit bei optimierten Kosten zu erreichen.
Das liegt daran, dass die Zuständigkeit für viele Aufgaben der IT-Sicherheit auf unterschiedliche operative Bereiche der IT aufgeteilt ist. Der CISO hat oft zwar Kontrollfunktionen und soll Architektur- oder Investitionsentscheidungen mit Blick auf die IT-Sicherheit zustimmen. Der tatsächliche Einfluss auf das, was im Bereich der IT-Sicherheit investiert und betrieben wird, ist häufig aber gering.
Es reicht nicht aus, wenn nur Vorgaben beispielsweise zur Stärke der Authentifizierung oder der Erfordernis, bestimmte Informationen zu verschlüsseln, gemacht werden können. Denn solche Vorgaben alleine führen nicht zu einem konsistenten Ansatz für IT-Sicherheit, der darauf abzielt, gezielt die größten Risiken zu verringern.
Das Problem Kosten: Punktlösungen kosten mehr
Eines der Resultate einer solchen Organisationsstruktur ist, dass nicht gezielt in IT-Sicherheit investiert wird. Im schlechtesten Fall kümmern sich Bereiche wie beispielsweise die IT-Infrastruktur-Administratoren mit dem Endpoint-Management nicht ausreichend um das Thema. In vielen Fällen erhalten die Fachabteilungen, wie heute noch oft beim Thema IAM (Identity and Access Management) zu beobachten, auch keine ausreichenden Budgets.
Im besten Fall wird in Sicherheit investiert – aber an vielen verschiedenen Stellen und mit einem Mangel an Koordination. Ein gutes Beispiel ist die Sicherheit von mobilen Endgeräten, wobei es eigentlich nicht um die Gerätesicherheit sondern um die Informationssicherheit geht.
Hier finden sich Lösungsansätze im Netzwerkbereich, beim Mobile Device Management, auf Anwendungsebene, als Teil von IAM-Lösungen und als Teil des Information Rights Management. Wenn es keine koordinierte Gesamtstrategie gibt, ist das Risiko von unnötigen Investitionen und Betriebskosten hoch.
Aufklappen für Details zu Ihrer Einwilligung
Stand vom 30.10.2020
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://support.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.