Best Practices allein reichen nicht

IT Security bedarf genauer Risikoanalyse und Sicherheitskonzepte

Seite: 2/2

Firma zum Thema

Wo IT-Sicherheit tatsächlich ansetzen muss

Typisch ist zum Dritten auch, dass man keine abgestuften Sicherheitskonzepte findet. Sicherheit muss bei der Information beginnen – denn IT hat nicht in erster Linie mit Technologie, sondern mit den zu verarbeitenden und damit auch zu schützenden Informationen zu tun.

Das Wissen darum, welche Information und (als Konsequenz daraus) welche Systeme wie zu schützen sind, ist die Grundlage jedes Sicherheitskonzepts. Die Bewertung von Risiken und die Steuerung von Sicherheitsinvestitionen entsprechend dieser Risiken ist unverzichtbar, um das Geld für Sicherheit gezielt einsetzen zu können.

Das vielleicht größte Problem ist aber, dass Sicherheit als lästiges IT-Thema verstanden wird und es oft eine Art „Primat des Business“ gibt. Dabei wird ausgeblendet, dass wir uns nur mit IT-Sicherheit beschäftigen, weil hinter jedem IT-Sicherheitsrisiko ein operationales oder sogar strategisches Risiko steht.

Der Verlust von Wettbewerbsvorteilen, Strafzahlungen, Image- und daraus resultierender Kundenverlust oder ein verminderter Zugang von neuem Geld zu Banken nach dem Diebstahl von Daten sind nur einige Beispiele. Hier müssen IT und Business lernen, IT-Sicherheitsrisiken in operationalen und strategischen Risiken abzubilden und zu bewerten, um entscheiden zu können, wo man was für die Sicherheit macht oder nicht – denn nicht jedes Risiko lässt sich vermeiden.

Natürlich gibt es noch mehr Gründe – aber diese lassen sich auf die genannten Punkte zurückführen. Hierzu zählen codierte Sicherheit, Punktlösungen statt durchdachter Sicherheitsarchitekturen oder das Ignorieren der Risiken, die durch interne Benutzer mit privilegierten Konten entstehen.

Klar ist aber, dass gezielte Sicherheitsinvestitionen sinnvoll sind. Denn nur so lassen sich die Konsequenzen auf geschäftlicher Ebene minimieren. Gezielte Sicherheitsinvestitionen setzen aber voraus, dass man von Best Practices lernt, sich aber nicht blind auf diese verlässt. Man muss seine eigenen Sicherheitskonzepte sowie -architekturen definieren und den Umgang mit Sicherheit zu einem kontinuierlichen Prozess machen, um die Risiken zu minimieren.

(ID:2044236)