Wirtschaftliche Gründe für IT-Sicherheit

Investitionen in die IT-Sicherheit lohnen sich!

| Autor / Redakteur: Destiny Bertucci / Peter Schmitz

Potenzielle wirtschaftliche Risiken aufzuzeigen ist eine Möglichkeit, Vorgesetzten die Bedeutung von IT-Sicherheit klarzumachen.
Potenzielle wirtschaftliche Risiken aufzuzeigen ist eine Möglichkeit, Vorgesetzten die Bedeutung von IT-Sicherheit klarzumachen. (Bild: Pixabay / CC0)

Wenn ein Unternehmen und seine IT-Abteilung beim Thema Sicherheit nicht an einem Strang ziehen, besteht ein hohes Risiko für Datenschutz­verstöße. Alle IT-Experten sollten deshalb wissen, wie sie ihren Geschäftsführern Sicherheitserfordernisse so vermitteln können, dass sie verstanden und ernst genommen werden.

Im Jahr 2017 gab es insgesamt 5.207 Datenschutzverletzungen – 20 Prozent mehr als im Jahr 2015 – und 7,8 Milliarden Datensätze waren weltweit ungeschützt, 24 Prozent mehr als im Jahr 2016. Ein starker Sicherheitsstatus sollte für Unternehmen oberste Priorität haben. Natürlich spielen IT-Experten eine entscheidende Rolle beim Vermitteln und Implementieren von Sicherheitsprozessen, aber das Thema Sicherheit beschränkt sich nicht auf die IT-Ebene, sondern muss auch aus Unternehmensperspektive mehr in den Vordergrund rücken.

Wie ist der aktuelle Stand?

Aktuelle Sicherheitsvorgaben werden von den meisten Unternehmen unterschiedlich gehandhabt, aber oft fehlt es an Orientierung. Alle IT-Experten – unabhängig von der Größe des Unternehmens, für das sie arbeiten – sollten wissen, wie sie ihren Geschäftsführern Sicherheitserfordernisse so vermitteln können, dass sie verstanden und ernst genommen werden.

Potenzielle wirtschaftliche Risiken aufzuzeigen ist eine Möglichkeit, Vorgesetzten die Bedeutung von Sicherheitsvorkehrungen klarzumachen. Viele Unternehmen können nicht einschätzen, welche Kosten im Falle eines Datenschutzverstoßes auf sie zukommen. Jedes Unternehmen sollte eine Rechnung für eine jährliche Schadenserwartung (die Summe aus jährlicher Häufigkeitsrate und Einzelschadenerwartung) aufstellen. Diese trägt dazu bei, das Risiko einer ungenügenden Sicherheitsstrategie in Zahlen auszudrücken. Mithilfe der Formel kann man auch die Kosten für die Sicherheit eines bestimmten Produkts, z. B. Mitarbeiter-Laptop, darstellen und somit aufzeigen, wie wichtig Investitionen in Sicherheit und Benutzerschulungen sind, anstatt den Verlust oder Diebstahl dieses Geräts abzudecken.

Nicht nur die Führungsebene braucht ein neues Bewusstsein, auch Mitarbeiter müssen mit Sicherheitsrichtlinien und praktiken in einer für sie verständlichen Form vertraut gemacht werden. Zum Beispiel sollten IT-Experten die Verwendung zu technischer Begriffe vermeiden, da diese von den meisten Endbenutzern nicht verstanden werden. Außerdem sollten sie Mitarbeitern praktische Beispiele zeigen, worauf sie achten sollen, z. B. echte Phishing- oder Malware-E-Mails. Sicherheitsschulungen sollten im Rahmen von Neuanstellungen und Eingliederungsprozessen sowie mehrfach übers Jahr für alle Mitarbeiter zur Auffrischung durchgeführt werden. Mitarbeiter müssen die Sicherheit als wichtiges Unternehmensziel begreifen, da sie sonst selbst zur Schwachstelle werden könnten.

Gleichzeitig sollte jeder Mitarbeiter im Unternehmen zum Verfechter von Sicherheit werden und im Falle eines Hackerangriffs umfassend über den Aktionsplan informiert sein. Mitarbeiter müssen die nötigen Schritte kennen, wenn sie einen vermeintlichen Datenschutzverstoß oder Virus auf ihrem Mobiltelefon oder Laptop entdecken. IT-Experten sollten Mitarbeiter loben, die mit potenziellen Problemen zu ihnen kommen, und ihnen einen Ersatz-Laptop oder ein Ersatzgerät zur Verfügung stellen, damit sie weiterhin ihrer Arbeit nachkommen können, wenn ihr Gerät kompromittiert wurde.

Best Practices für eine Sicherheitsstrategie auf Geschäftsebene

Folgende Praktiken haben sich bei der Implementierung einer Sicherheitsstrategie bewährt:

Verhindern von Datenverlust: Zunächst einmal sollten Sie ermitteln, mit welchen Verlusten Sie zu rechnen haben, sollte Ihr Unternehmen anfällig für Hackerangriffe oder Datenschutzverstöße sein. Setzen Sie Risk-Intelligence-Strategien ein, um festzustellen, welche potenziellen Bedrohungen und Schwachstellen innerhalb und außerhalb Ihres Unternehmens bestehen. Unmittelbar danach sollten Strategien zur Verhinderung von Datenverlusten wie das Löschen oder Verschlüsseln bestimmter Dateien oder Daten zum Einsatz kommen.

Benutzerschulung: Die Schulung von Endbenutzern ist eine erschreckend wenig genutzte Methode zur Optimierung der Datensicherheit in Unternehmen. Die Zahlen zeigen immer wieder, dass die meisten Angriffe ihren Ursprung innerhalb des Unternehmens haben. Sie sind oft darauf zurückzuführen, dass ein Mitarbeiter Opfer eines Phishing-Angriffs wurde, der Malware ins Netzwerk einschleust, oder auf DDoS-Angriffe sowie versehentliche Endbenutzerfehler, die auf ein unzureichendes Verständnis potenzieller Sicherheitsbedrohungen zurückzuführen sind. Auf Sicherheitsschwachstellen, die durch Aktivitäten der Endbenutzer verschärft werden können, sollten IT-Abteilungen von Unternehmen proaktiv und transparent aufmerksam machen. Beispielsweise wenn Benutzer Unternehmens-E-Mail-Adressen auf einem Smartphone nutzen, dessen Betriebssystem ein Sicherheitspatch erfordert, oder soziale Netzwerke mit einem Kennwort verwenden, das möglicherweise bei einem größeren Datendiebstahl kompromittiert wurde.

Kontinuierliche und umfassende Überwachung: Wenn ein Unternehmen nichts überwacht, wird ihm auch keine Anomalie auffallen. IT-Experten können zwar nach einem entdeckten Verstoß oder Angriff eingreifen und eine Überwachungslösung einrichten. Es kann dann aber passieren, dass bestimmte von Hackern implementierte Dinge im Nachhinein nicht mehr ausfindig gemacht werden. Alle Unternehmen sollten proaktiv überwachen, um für eine Grundabsicherung zu sorgen. So ist es für sie zukünftig einfacher zu erkennen, was außerhalb der Norm liegt. IT-Experten sollten auch darauf achten, Compliance-Software wie eine Sicherheitsinformations- und Ereignisverwaltung (SIEM) in Ihrer Umgebung zu integrieren. Somit können Sie sicherstellen, dass Schwachstellen behoben werden, indem Sie beispielsweise Patches sowie Protokolle und Ereignisse über eine benutzerfreundliche Schnittstelle verwalten.

Anpassen der Sicherheitsrichtlinien: Unternehmen müssen in der Lage sein, ihre Sicherheitsrichtlinien problemlos zu überarbeiten. Denken Sie daran, dass sich die Bedrohungslandschaft ständig verändert. Man sollte sich nicht auf eine Strategie festlegen und diese einfach immer weiter fortführen. Stattdessen sollten die Sicherheitsrichtlinien alle sechs bis neun Monate neu überprüft werden, um sicherzustellen, dass alles auf dem neuesten Stand und so effektiv wie möglich ist. Ich bin bei der Analyse der Sicherheitsprozesse von Unternehmen schon häufiger auf Richtlinien gestoßen, die ganze zwei Jahre zuvor eingerichtet worden waren, ohne dass irgendjemand sie jemals aktualisiert hätte. Es sollte zwei verschiedene Sicherheitsrichtlinien geben: eine für Mitarbeiter und eine, die als Rahmen für die Netzwerk-, System- und Sicherheitsteams des Unternehmens dienen kann.

Richtlinie bei Verstößen: Für jedes Unternehmen ist es von entscheidender Bedeutung, eine Richtlinie zu haben, aus der hervorgeht, was nach einem Verstoß zu tun ist und wie daraus resultierende Probleme anzugehen sind. Die Richtlinie sollte Präventionsmaßnahmen, Schwachstellen des Unternehmens, durchgeführte Tests und einen Reaktionsplan nach Vorfällen berücksichtigen, einschließlich einer Kommunikationsstrategie. Schließlich sollten alle Unternehmen die Vorfälle auswerten, um Einblicke in die gewonnenen Erfahrungen zu erhalten sowie neue Prozesse und Technologien zu benennen, die nach einem Vorfall zum Einsatz kommen.

Sicherheit muss eine hohe Priorität für das gesamte Unternehmen haben – nicht nur für die IT – und Benutzerschulungen sind der erste wichtige Schritt dahin. Nur wenn Mitarbeiter verstehen, wie sie selbst sicher handeln sowie ihr Unternehmen und die Unternehmensdaten sicher behandeln, vermeiden sie unbeabsichtigte Gefährdungen ihres Geschäftsbetriebs.

Über die Autorin: Destiny Bertucci ist Head Geek bei SolarWinds.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45460345 / Head Geeks Speech)