IT-Sicherheit ist eine Frage der Organisation, nicht der Technik

Richtig in IT-Sicherheit investieren – Informationen statt Technologie schützen

26.02.2010 | Autor / Redakteur: Martin Kuppinger / Peter Schmitz

Gute Planung erspart auch bei der IT-Sicherheit Umsetzungskosten. Wer gezielt investiert und dabei nicht nur auf Technologie setzt, kann mit weniger Geld mehr Informationssicherheit erreichen.
Gute Planung erspart auch bei der IT-Sicherheit Umsetzungskosten. Wer gezielt investiert und dabei nicht nur auf Technologie setzt, kann mit weniger Geld mehr Informationssicherheit erreichen.

IT-Sicherheit kostet Geld, kein Zweifel. Nur: Mehr ist nicht zwingend besser. Viel wichtiger ist, dass man sich nicht nur mit Sicherheitstechnologie, sondern auch mit der Organisation beschäftigt. Wichtig ist aber vor allem auch, dass man IT-Sicherheit immer „ganzheitlich“ betrachtet. Denn wenn man die Vordertür verschließt, Fenster und Hintertür aber weit offen lässt, führt das allenfalls zu einem trügerischen Gefühl von Sicherheit, aber nicht zu mehr Sicherheit.

Nicht umsonst sind Sicherheits-Leitlinien wie das Sicherheitshandbuch des BSI sehr vielschichtig und beschäftigen sich mit vielen Themen. Das Abhaken einer Checkliste reicht allerdings auch bei weitem nicht, ebenso wenig wie ein Zertifikat beispielsweise des TÜV, wie das Beispiel libri.de erst unlängst wieder bewiesen hat, bei dem eine TÜV-sicherheitszertifizierte Web-Site und die dahinter stehende Anwendung eklatante Sicherheitsmängel aufgewiesen haben.

Sicherheit beginnt im Kopf

In dem Fall war die Sicherheitsarchitektur der Anwendung schlicht mehr als mangelhaft, weil es keine auch nur ansatzweise vernünftigen Autorisierungskonzepte in der Anwendung gab. Das lässt sich ohne weiteres aus den bekannt gewordenen Einzelheiten erkennen – eine veränderte URL hat ohne Autorisierung auf Informationen geführt.

Wenn man über IT-Sicherheit nachdenkt, lohnt sich zunächst ein genauer Blick auf den Begriff. Es geht um Information und Technologie. Im Mittelpunkt steht dabei nicht die Technologie, sondern die Information. Wir müssen nicht Technologie schützen, sondern die verarbeiteten und gespeicherten Informationen. Dabei muss nicht jede Information gleich behandelt werden. Ein wichtiger Schritt hin zu mehr Informationssicherheit ist eine Klassifizierung von Informationen und, davon abhängig, den Prozessen und Systemen, die für ihre Verarbeitung und Speicherung verwendet werden.

Eng damit verbunden ist das Risiko-Management. Die Bewertung von Risiken hilft nicht nur, die möglichen Konsequenzen von Sicherheitsproblemen abzuschätzen, sondern erlaubt auch eine valide Bewertung von Investitionen. Entscheidend sind dabei nicht das technische Sicherheitsrisiko, sondern die daraus entstehenden operationalen und manchmal sogar strategischen Risiken.

Wenn Daten über mögliche Steuersünder bei einer Bank gestohlen werden, gibt es operationale Risiken von Schadensersatzforderungen, wie ein aktuelles Urteil in Liechtenstein zeigt. Es gibt aber auch das operationale Risiko eines sinkenden Nettogeldzuflusses, weil Anleger der Bank weniger vertrauen. Das hat Konsequenzen nicht nur für das direkte operative Geschäft, sondern kann durch die geltenden Eigenkapital- und Refinanzierungsrisiken im Extremfall sogar zu einem strategischen Risiko für die Bank werden.

Wo es Risiken gibt, gibt es aber auch immer Chancen. Es geht also darum, die Risiken gegen das abzuwägen, was man mit einer IT-Lösung erreichen möchte (oder muss). Abhängig vom Verhältnis von Risiken und Chancen kann man dann über die sinnvollen Investitionen in IT-Sicherheit entscheiden, also die Risikovermeidung.

Seite 2: Nicht nur Technologie bringt Sicherheit

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 2043609 / Notfallmanagement)