Suchen

Best Practices allein reichen nicht IT Security bedarf genauer Risikoanalyse und Sicherheitskonzepte

| Autor / Redakteur: Martin Kuppinger / Stephan Augsten

Bei der Analyse vieler schwerwiegender Fälle von Computerkriminaltität zeigt sich laut dem Chef-Forensiker eines der größten Systemintegratoren eine deutliche Parallele: Es wurden nicht einmal die Best Practices der IT-Sicherheit umgesetzt. Nur reicht auch das nicht aus, wenn man den Begriff „Best Practice“ auf das simple Befolgen von Checklisten reduziert.

Firmen zum Thema

Nicht gecheckt: Wer einfach nur Listen abhakt, wird seine IT niemals umfassend schützen können.
Nicht gecheckt: Wer einfach nur Listen abhakt, wird seine IT niemals umfassend schützen können.
( Archiv: Vogel Business Media )

Etliche schwere (und wahrscheinlich noch mehr leichtere) Fälle von Computerkriminalität und andere Sicherheitsvorfälle resultieren aus allzu offensichtlichen Schwachstellen. Aber ist wohl keine Überraschung; man braucht sich nicht darüber zu wundern, dass es einfach ist, unbefugt an Daten zu kommen. Denn viele Unternehmen haben immer noch keine ausreichende Infrastruktur im Bereich des Zugriffsmanagement und der Zugriffskontrolle eingeführt.

Sicherheitslücken sind nur die logische Konsequenz aus einer Ignoranz, die viele Unternehmen teilen. So befassen sich viele nicht mit den Sicherheitsrisiken, die mit immer leistungsfähigeren mobilen Endgeräten einhergehen. Ebenso gerne werden Sicherheitsanforderungen an Anwendungen ignoriert oder vernachlässigt; nur aufgrund „wichtigerer Business-Anforderungen“ oder der wegen „Time-to-Market“ geforderten schnellen Bereitstellung von Anwendungen. Und das sind nur einzelne Beispiele.

Risiken und IT-Sicherheit ernst nehmen

Für diese Situation gibt es aus meiner Sicht vier wesentliche Gründe. Der erste ist, dass Sicherheit als Thema nicht ausreichend ernst genommen wird. Das geht vom Unwissen über die Ignoranz bis hin zum Ausblenden von Sicherheitsrisiken.

Dahinter steht manchmal auch ein Übersetzungsproblem: Der IT gelingt es nicht, den Entscheidern die Sicherheitsrisiken und die damit verbundenen Konsequenzen deutlich genug zu machen. Oft ist es aber auch so, dass man die Mahnungen einfach nicht hören will – ein Verhalten, das man oft genug beobachten kann, wie die Finanzkrise wieder deutlich gezeigt hat.

Der zweite Grund ist, dass man sich nicht spezifisch mit den eigenen Sicherheitsrisiken beschäftigt, sondern einen Checklisten-Ansatz verfolgt. Ein BSI-Grundschutzhandbuch oder eine ISO 2700x helfen dabei Sicherheitskonzepte zu gestalten, eine TÜV-Zertifizierung kann eine sinnvolle Überprüfung sein.

Es reicht allerdings nicht aus, einmal so zu verfahren und den Prozess vielleicht noch jährlich zu wiederholen. Solche Ansätze stellen nur eine Basis dar – man muss aber überlegen, was man spezifisch im eigenen Unternehmen braucht, wie weit solche Zertifizierungen überhaupt reichen können und wie man aus einem Sicherheitsprojekt einen kontinuierlichen Prozess macht.

Seite 2: Wo IT-Sicherheit tatsächlich ansetzen muss

(ID:2044236)