Suchen

Ganzheitliche IT-Sicherheitsstrategie IT-Sicherheit ist Chefsache

| Autor / Redakteur: Michael Heuer / Peter Schmitz

IT-Sicherheit kostet nur Geld, der Nutzen ist kaum erkennbar – nach diesem Motto haben viele Unternehmen jahrelang gehandelt. Langsam ist es Zeit zum Umdenken, denn immer öfter gibt es schwerwiegende Sicherheitsvorfälle, bei denen Angreifer auf Passwörter, Schlüssel oder Zertifikate zugreifen und inzwischen kosten solche Fälle sogar CEOs den Job.

Firmen zum Thema

IT-Sicherheit muss zu einer Aufgabe der Geschäftsleitung werden. Auf der Tagesordnung muss die Entwicklung einer ganzheitlichen IT-Sicherheitsstrategie stehen, damit das Unternehmen für künftige Cyber-Attacken gewappnet ist.
IT-Sicherheit muss zu einer Aufgabe der Geschäftsleitung werden. Auf der Tagesordnung muss die Entwicklung einer ganzheitlichen IT-Sicherheitsstrategie stehen, damit das Unternehmen für künftige Cyber-Attacken gewappnet ist.
(Bild: lassedesignen - Fotolia.com)

Trotz der großen Publizität vieler Datendiebstähle sind viele Websites und Webapps von Unternehmen noch immer verwundbar gegen teils Jahrelang bekannte Angriffe. Fast überall gibt es bei Anwendungen, die über das Web zugänglich sind, einen erheblichen Handlungsbedarf.

Ein hoher Prozentsatz aller Web-Applikationen weist gravierende Sicherheitslücken auf. Fast jede davon kann für Datenklau und Industriespionage ausgenutzt werden. Und bei erfolgreichen Cyber-Attacken drohen, wenn sie publik werden, Unternehmen auch noch drastische Imageverluste.

Bezüglich der IT-Sicherheit von Webanwendungen hinken Unternehmen den Möglichkeiten der Angreifer hinterher – sehr oft sehr deutlich. Besonders gefährlich wird es, wenn eine schnelle Web-Lösung benötigt wird und Unternehmen vorhandene Softwarebausteine mit neuem Programmcode kombinieren.

Eine solche Anwendung ist schnell fertig und bietet ausreichend Funktionalität. Um rasch den Betrieb aufnehmen zu können, wird häufig auf umfangreiche und langwierige Sicherheitstests verzichtet. Nach genau solchen Gelegenheiten halten Hacker gezielt Ausschau.

IT-Sicherheit braucht Struktur

Wenn es um IT-Sicherheit geht, überlassen Unternehmen noch immer zu vieles dem Zufall. Sehr oft sind einzelne Lösungen vorhanden, die Aufgaben wie Virenschutz, Passwort- und Identitätsmanagement, die Verschlüsselung sensibler Unternehmensdaten oder Angriffe auf die Website und auf Web-Anwendungen angehen. Mehrere Personen kümmern sich um zugegebenermaßen wichtige Einzelthemen, es gibt aber kaum jemand, der für alle IT-Sicherheitsaufgaben zuständig und verantwortlich ist. Daher bleibt das meiste Stückwerk.

Erfolgreiche Hackerangriffe
Bildergalerie mit 317 Bildern

IT-Sicherheit muss zu einer Aufgabe der Geschäftsleitung werden. Auf der Tagesordnung steht die Entwicklung einer ganzheitlichen IT-Sicherheitsstrategie, die alle Aspekte berücksichtigt. Für die Umsetzung und ständige Anpassung ist ein Chief Security Officer verantwortlich. Insellösungen, die an einzelnen Problemen ansetzen, reichen nicht mehr aus. Unternehmen müssen jetzt handeln, um für künftige Sicherheitsattacken gewappnet zu sein.

Nachholbedarf bei Security Awareness

Der Autor Michael Heuer ist Regional Vice President und Country Manager Central Europe bei Akamai in Garching bei München.
Der Autor Michael Heuer ist Regional Vice President und Country Manager Central Europe bei Akamai in Garching bei München.
(Bild: Proofpoint)
Eine ganzheitliche IT-Sicherheitsstrategie umfasst technische und organisatorische Maßnahmen. Viele der klassischen Sicherheitswerkzeuge wie der Schutz vor Viren, Malware, Phishing sowie ein regelmäßiges Sicherheits- und Patchmanagement haben nicht ausgedient. Sie liefern den notwendigen Basisschutz. Nachholbedarf gibt es beispielsweise in den Bereichen Schulung, Training und Sensibilisierung der Mitarbeiter bezüglich neuerer Bedrohungen durch Social Engineering oder Social Hacking. Wichtig ist, dass Unternehmen Prozesse und Lösungen etablieren, die vorhandene und erfolgreiche Maßnahmen und Investitionen schützen.

Ein nachhaltiger Ansatz muss darüber hinaus Bedrohungen durch immer neue Formen von Cyber-Attacken aufgreifen. Eine Reihe von Unternehmen arbeitet bereits verstärkt mobil und cloudbasiert. Mit Security-Services aus der Cloud die den Schutz und die Verfügbarkeit von cloudbasierten Applikationen und Daten sicherstellen, können Unternehmen einen Ansatz verfolgen, der die Grenzen der herkömmlichen Sicherheitslösungen ergänzt und verstärkt.

(ID:42862163)