Verantwortungsvoller Umgang mit Ressourcen IT-Security braucht Nachhaltigkeitseffekt

Anbieter zum Thema

FTAPI Software GmbH

Mimecast Germany GmbH

TXOne Networks

IT-Sicherheit wird nach wie vor als ein Muss betrachtet, womit ihre Vorzüge und auch die Vorteile für den langfristigen Unternehmenserfolg in den Hintergrund rücken. Strategisch gedacht und nachhaltig umgesetzt ergeben sich jedoch ganz neue Perspektiven.

Werden Begriffe inflationär verwendet, erweitert sich in der Regel ihre Bedeutung. Bestes Beispiel: die Nachhaltigkeit. Mit zunehmendem Umweltbewusstsein gehört es mittlerweile zum guten Ton, „nachhaltig“ zu sein – auch für Unternehmen. Was konkret damit gemeint ist, kann dabei durchaus variieren. Letztendlich heißt Nachhaltigkeit aber erst einmal nur, verantwortungsvoll mit Ressourcen umzugehen – die nicht zwangsläufig natürlichen Ursprungs sein müssen. Denn gerade in der IT, allen voran in der IT-Security, ist es durchaus ratsam, nachhaltig zu planen und zu agieren. Und das aus einem einfachen Grund: Laut des Allianz Risk Barometers sind Cybervorfälle auch 2023 die größte Gefahr für Unternehmen. Risiken wie IT-Ausfälle, Ransomware-Angriffe oder auch Datenschutzverletzungen kosten die Weltwirtschaft mehr als eine Billion US-Dollar pro Jahr, heißt es im Report. Das entspricht etwa einem Prozent des globalen Bruttosozialprodukts.

In Deutschland ist die Lage ähnlich angespannt, wie die Studie „Cybersicherheit in Zahlen“ von G Data CyberDefense, Statista und dem Wirtschaftsmagazin brand eins zeigt: Von 53 Prozent der deutschen Mittelständler finden sich Daten im Darknet. Pro Tag werden 394.000 neue Schadprogramm-Varianten in Deutschland bekannt. Und der Schaden, der allein durch Ransomware pro Jahr für deutsche Unternehmen entsteht, liegt mittlerweile bei 24,3 Milliarden Euro.

IT-Sicherheit nachhaltig aufsetzen

Einer solchen Bedrohungslage können Unternehmen nur mit einer gezielten Strategie begegnen. Denn mit zunehmender Digitalisierung und neuen Arbeitsweisen erweitert sich auch das Spielfeld für Cyberkriminelle. Und nicht zu digitalisieren ist für Unternehmen eben auch keine Option.

Genau deshalb ist es entscheidend, IT-Security als nachhaltigen Prozess im Unternehmen zu etablieren. Wobei der Sicherheitsaspekt von Unternehmen leider noch viel zu oft als reines Cost-Center und damit notwendiges Übel wahrgenommen wird. Dabei kann eine nachhaltige und risikobasierte Sicherheitsstrategie entscheidend zum Unternehmenserfolg beitragen – etwa, weil durch Cyberkriminalität verursachte finanzielle Risiken minimiert, Digitalisierung konsequenter vorangetrieben oder mit einer nachweislichen Sicherheitsstrategie Wettbewerbsvorteile generiert werden können.

Stichwort risikobasierte Schutzmaßnahmen

Konkret heißt das, dass IT-Sicherheit und Unternehmensstrategie eng miteinander verzahnt werden sollten. Es muss klar sein, welche Ziele es kurz-, mittel- und langfristig zu erreichen gilt und welche Risiken damit einhergehen. Denn nur, wer weiß, was wirklich schützenswert ist, kann ein entsprechendes Risikomanagement drumherum aufbauen. Eine hundertprozentige Sicherheit ist natürlich nie möglich. Doch gerade deshalb ist es auch ratsam, schrittweise vorzugehen und verschiedene „Sicherheits-Layer“ zu etablieren. Besonders schützenswerte Daten und Prozesse, beispielsweise die geschäftskritischen, werden in einem „Inner Circle“ separat abgesichert. Einprägsam ist hier sicherlich das Bild der Matrjoschka-Puppen, bei denen die vielen äußeren Hüllen, den kleinen, zarten und fragilen „Kern“ schützen.

Das heißt natürlich auch, dass es sich bei dieser Art risikobasierter Schutzmaßnahmen um kein starres Konstrukt handelt. Vielmehr werden Sicherheitsmaßnahmen und -prozesse kontinuierlich sowohl anhand der aktuellen Bedrohungslage als auch anhand der Unternehmensziele angepasst. Ändert sich der Status der Digitalisierung, gibt es eine Cloud-Transformation oder neue Arbeitsplatz-Modelle, werden auch die Security-Maßnahmen entsprechend modelliert.

Weniger Komplexität, mehr Sicherheit

Wir erinnern uns, nachhaltig heißt vor allem ressourcenschonend und genau deshalb ist die Entwicklung hin zu einer stark gestiegenen Komplexität in der IT kontraproduktiv – übrigens nicht nur mit Blick auf die IT-Security. Legacy-Systeme, Multi-Cloud-Ansätze, Container-Lösungen, Schatten-IT aber auch Homeoffice und ganz neue Arten der Zusammenarbeit machen es zunehmend schwieriger, die IT zu beherrschen und damit für das nötige Maß an Sicherheit zu sorgen. Hinzukommt, dass gerade IT- und speziell Sicherheitsspezialisten zu jenen Fachkräften zählen, die nicht zuhauf auf dem Arbeitsmarkt zu finden sind.

Zeitgleich nimmt die Geschwindigkeit rasant zu, mit der sich Unternehmen auf Veränderungen einstellen müssen – und damit müssen auf regulatorischer Seite immer neue Anforderungen eingehalten werden. In erster Linie gilt es daher, die Komplexität zu reduzieren und Lösungen wo immer möglich zu konsolidieren. An Geschwindigkeit gewinnen Unternehmen zudem, indem sie Kompetenzen im eigenen Haus gezielt nutzen. Andere Themen, wo die Expertise fehlt, können hingegen gut als Service ausgelagert und so deutlich schneller in die Umsetzung gebracht werden. Der richtige Security-Anbieter an der Seite ist imminent, was bei dem breiten und komplexen Angebot am Markt mitunter nicht leicht ist. Kriterien für einen Trusted-Partner können beispielsweise Zertifizierungen, bei Cloud-Nutzung vor allem auch Datenhoheit, -schutz und -sicherheit sein.

Mitarbeiter als Assets

Viel wichtiger ist es aber fast, IT-Sicherheit als „Business Enabler“, als Innovationstreiber zu betrachten, ohne den neue digitale Geschäftsfelder gar nicht erschlossen werden könnten. Deshalb kommt einem ganzheitlich betrachteten Information Security Management System, kurz ISMS, auch eine große Bedeutung zu. Wichtiger Erfolgsfaktor eines ISMS: die Belegschaft. Nur wenn sie aktiv einbezogen wird, kann eine nachhaltige IT-Security überhaupt funktionieren. Sind die Mitarbeitenden hingegen nicht an Bord oder nicht entsprechend geschult, sind sie nach wie vor das interessanteste Einfallstor für Cyberkriminelle.

Weiterhin sollte das ISMS natürlich sowohl die Detektionsrate als auch die Reaktionsfähigkeit stärken – und zwar über die gesamte Unternehmens-IT hinweg. Und dann gilt es im Rahmen eines ISMS, Strategien für den Schadensfall zu entwickeln. Denn mit einem passgenauen Incident Response Prozess, einem echten Notfallplan, weiß die Belegschaft sofort, was zu tun ist, wohin Meldungen gehen müssen und welche Maßnahmen zu ergreifen sind. Das stärkt gleichzeitig auch die Einhaltung von Compliance-Richtlinien und weiteren Regularien.

Jetzt handeln

Weil die Bedrohungslage so real und das Thema so komplex ist, sollten Unternehmen ihre IT-Sicherheitsstrategie unbedingt überdenken. Dass sich unsere Welt noch einmal „entdigitalisiert“, ist nicht anzunehmen. Das heißt im Umkehrschluss: Sicherheitsrisiken nehmen tendenziell eher zu als ab. Damit wird IT-Security zu DEM Thema für alle Unternehmen, unabhängig von Größe, Branche oder Umsatz. Und da Ressourcen – allen voran die IT-Sicherheitsexperten – nicht unbegrenzt zur Verfügung stehen, führt an einer nachhaltigen IT-Security-Strategie und entsprechenden risikobasierten Maßnahmen kein Weg vorbei. Richtig aufgesetzt sorgt sie langfristig für den Unternehmenserfolg – ein durchaus attraktiver Anreiz, jetzt zu handeln.

Über den Autor: Daniel Graßer verantwortet seit Juni 2022 als Senior Director of Security Services das Security Portfolio & Services, Business Development sowie die dazugehörige Strategie bei Plusserver.

(ID:49617580)