Den Fokus auf Menschen, nicht auf Produkte richten

IT-Sicherheitsstrategie 2014

| Autor / Redakteur: W. Hord Tipton, CISSP, Executive Director (ISC)² / Stephan Augsten

Die Sicherheitsabteilungen benötigen nicht nur zusätzliche, sondern auch besser geschulte Mitarbeiter.
Die Sicherheitsabteilungen benötigen nicht nur zusätzliche, sondern auch besser geschulte Mitarbeiter. (Bild: © Nmedia - Fotolia)

Die Sicherheitsvorfälle im Jahr 2013 waren in Größe und Umfang richtungsweisend, allein schon die heimliche Sammlung von Informationen durch Sicherheitsbehörden wie NSA und GCHQ. Eines wurde dabei deutlich: Sicherheitsabteilungen haben das grundlegende Anforderungen an Datenschutz und Datensicherheit noch nicht komplett umgesetzt.

Das Jahr 2013 hatte hinsichtlich der gemeldeten Sicherheitsvorfälle einiges zu bieten, auch abseits der Enthüllungen durch Edward Snowden. Adobe meldete die Manipulation von Daten von über 38 Millionen Nutzern; chinesische Hacker brachen in Systeme von Mediengiganten ein; Nutzernamen von 22 Millionen Nutzern von Yahoo Japan wurden gestohlen.

Bedenklich ist, dass diese Ereignisse auch die Schwächen der Abwehrmaßnahmen offenlegen, die primär auf der Technik als der wichtigsten Verteidigungslinie beruhen. Zum Beispiel legte der Verstoß bei Adobe die Schwächen des Passwortsystems und die Fehler der derzeit altmodischen Formen der Authentifizierung offen.

Wagen wir einen Blick in die nahe Zukunft: Im Jahr 2014 wird die Branche vermutlich damit beginnen, die Sicherheitsteams mit kompetenterem Personal in Verbindung mit der Einführung besserer Technologie aufzupeppen.

Die Vorstands- und Geschäftsführungsebene beginnt, die Sicherheitsabteilung an den Tisch zu bitten, um die wichtigsten Unternehmens- und Organisationsinitiativen konstruktiv zu besprechen. Sicherheit wird von nun an als ein fundamentaler Baustein IT-gestützter Programme betrachtet und Cybersicherheitsrisiken werden demonstrativ als feste Größe in die Geschäftsdebatte eingehen.

Angetrieben durch diesen neuen Ansatz werden wir eine neue Welle der Zusammenarbeit zwischen IT und Sicherheit erleben. IT-Manager werden Sicherheit in geschäftskritische Initiativen, wie Mobilität, Anwendungsentwicklung und Geschäftsinformationen integrieren. All dies wird auf sicherere Systeme und ein gesteigertes Sicherheitsbewusstsein bei IT-Operationen, Softwareentwicklung und Endpunkt-Management hinauslaufen.

Zusätzliches und besser ausgebildetes Personal

Die überwältigende und ausgeklügelte Art des Social Engineering und der Denial-of-Service-Angriffe legen den Mangel an Personal und Know-how in den Sicherheitsabteilungen, zum Beispiel bei Computerforensik und Anwendungssicherheit offen. Angriffe auf vertikale Märkte haben auch den Bedarf an branchenspezifischen Kenntnissen – wie dem Support von speziellen Systemen im Gesundheitswesen und im Bereich öffentliche Verwaltung – aufgezeigt.

Angesichts der hinreichend publizierten Datenverluste im Gesundheitssystem werden wir, die in diesem Sektor für Datenkontrolle oder -sicherheit verantwortlich sind, mehr Bedarf an Know how und Expertise benötigen, um Sicherheits- und Datenschutzbelange in Bezug auf Gesundheitsinformationen anzugehen.

Der neue Schwerpunkt auf Sicherheit in der Vorstands- und Geschäftsführungsebene und in der IT-Abteilung wird das Wachstum an „Human Capital“ in der Sicherheit vorantreiben. Die Ausgaben für die Personalausstattung und -schulung im Sicherheitsbereich werden ebenso steigen wie die Gehälter für qualifizierte Sicherheitsexperten. Und es wird ein größeres Verständnis des Wertes der Sicherheit für das Unternehmen geben, was diese Funktion zu einem noch wichtigeren Teil der künftigen Planung und der Budgets macht.

Grundsätzlich sind die technischen Möglichkeiten extrem beschränkt, solange sie nicht von Sicherheitsexperten unterstützt werden, die über entsprechende Fähigkeiten verfügen. Das Blatt wird sich im Cybersicherheitskrieg 2014 wenden – letztlich wird die Seite mit dem besten Know-how im Vorteil sein.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42503647 / Security Best Practices)