Suchen

IT-Sicherheit ist eine Frage der Organisation, nicht der Technik

Richtig in IT-Sicherheit investieren – Informationen statt Technologie schützen

Seite: 4/4

Firmen zum Thema

Was tun für mehr IT-Sicherheit?

Die Grenzen der Sicherheit heißen nun natürlich nicht, dass man alle Hoffnung fahren lassen sollte. Es geht vielmehr um die gezielte Entschärfung von Risiken. Die wichtigste Voraussetzung dafür ist, dass man sich der Risiken bewusst ist. Der fundamentale Unterschied zwischen dem Risiko und der Unsicherheit ist, dass man ein Risiko einschätzen kann. Man kann Risiken gezielt verringern – gegen eine Unsicherheit kann man dagegen allenfalls unspezifisch und mit dem Risiko von Fehlinvestitionen und dennoch verbleibenden eklatanten Sicherheitslücken ankämpfen.

Es geht daher nicht in erster Linie um taktische Investitionen in Punktlösungen. Was bringt es, wenn USB-Geräte nicht mehr so einfach verwendet werden können, wenn ein Dienstleister eines externen Dienstleisters einfach wichtige Patienten-Datensätze herunterladen kann, wie es unlängst wohl bei der BKK der Fall war? Die Analyse von Sicherheitsrisiken, eine Sicherheitsstrategie und die richtige Organisation und Prozesse müssen vorangehen. Ansätze wie das Sicherheitshandbuch des BSI sind dabei eine Hilfe –aber man muss sich auch darüber im Klaren sein, dass sie zwar bei der Identifizierung von Risiken helfen, aber noch keine Sicherheitsstrategie schaffen.

Bei einer solchen Strategie geht es darum, Risiken der Informationssicherheit zu reduzieren. Das geschieht nicht so sehr über taktische Technologieinvestitionen, sondern darüber, dass man möglichst durchgängige Schutzschichten realisiert. Zentrale Konzepte für die Authentifizierung und Autorisierung stehen dabei im Mittelpunkt. Das gilt umso mehr, als es zum einen den klassischen, durch Firewalls geschützten Perimeter längst nicht mehr gibt, weil Benutzer viel zu mobil sind und zum anderen, weil der ohnehin nicht vor dem Feind im Inneren geschützt hat. Dabei sollte man taktische Investitionen, gerade im Bereich DLP (Data Leakage Prevention) kritisch daraufhin hinterfragen, ob sie wirklich die Risiken verringern oder sie nur verlagern.

Mit diesem Blickwinkel lohnt sich auch ein Blick auf Anwendungen. Das bereits oben angesprochene Risiko mangelhafter Sicherheitsarchitekturen lässt sich durch klare Vorgaben für Entwicklungs- und Einkaufsprozesse reduzieren. Und das Argument, dass der Fachbereich eine Anwendung ohnehin kaufen darf, wenn er sie braucht, selbst wenn Sicherheitsbedenken bestehen, verliert bei einem risiko-basierten Ansatz für die Informationssicherheit an Relevanz. Wer die Risiken kennt, kann diese den Chancen durch eine Anwendung gegenüberstellen und argumentiert nicht mit technischen Sicherheitsrisiken, sondern mit den operationalen oder gar strategische Risiken – und damit auf der gleichen Ebene wie die Fachbereiche, die eine bestimmte Lösung wollen.

Letztlich gilt für die IT-Sicherheit das, was auch sonst gilt: Gute Planung erspart Umsetzungskosten. Diese goldene Regel aus dem Projektmanagement gilt nicht nur für Bauprojekte, sondern eben auch für die Informationssicherheit. Wer gezielt investiert und dabei nicht nur auf Technologie setzt, sondern über Risiken und die organisatorische Seite arbeitet, kann mit weniger Geld mehr Informationssicherheit erreichen.

Über den Autor

Martin Kuppinger ist Gründer des Analystenunternehmens Kuppinger Cole, das sich mit digitalen Identitäten, Identity und Access Management, GRC (Governance, Risk Management, Compliance) und Cloud Computing beschäftigt. Kuppinger Cole ist Ausrichter der European Identity Conference 2010, die sich als Leitveranstaltung rund um diese Themenbereiche etabliert hat. Martin Kuppinger hat darüber hinaus eine Vielzahl von IT-Fachbüchern und –Fachartikeln veröffentlicht.

(ID:2043609)