Suchen

Die richtige Mischung aus Kontrolle und Vertrauen Überlegte IT- und Netzwerk-Überwachung

| Autor / Redakteur: Dr. Gerald Spiegel, Steria Mummert Consulting / Stephan Augsten

Das Überwachen und Protokollieren der internen Aktivitäten im Netzwerk ist ein zentraler Erfolgsfaktor für IT-Sicherheit. Die richtige Dosis ist allerdings entscheidend, damit Kontrollen von allen Mitarbeitern akzeptiert werden. Und hier hapert es häufig.

Firmen zum Thema

Beim Überwachen der Mitarbeiter-Aktivitäten im Netzwerk ist Fingerspitzengefühl gefragt.
Beim Überwachen der Mitarbeiter-Aktivitäten im Netzwerk ist Fingerspitzengefühl gefragt.
(Bild: alphaspirit - Fotolia.com)

Mehr als 40 Prozent der deutschen Unternehmen fehlt das richtige Maß an IT-Überwachung. Zu diesem Ergebnis kommt die Studie „IT-Security“ von Steria Mummert Consulting. Manche Unternehmen empfinden ihre internen Kontrollen als zu lax. 17 Prozent der in der Trendstudie befragten Fach- und Führungskräfte beurteilen die Kontrolle und Überwachung der IT-Sicherheit im eigenen Haus als unzureichend.

In anderen Fällen geht die Überwachung vielen zu weit. Diesen Eindruck hat ein Viertel der Sicherheitsverantwortlichen, so die Untersuchung. Diese extremen Ausschläge in beide Richtungen zeigen: Unternehmen tun sich schwer, das richtige Maß zwischen Freiheit und Kontrolle herzustellen. Einige arbeiten nach dem Motto: „Es wird schon nichts passieren“. Andere Häuser lassen dagegen fast keine Spielräume.

Beide Extreme sind nicht wünschenswert. Kontrollieren Unternehmen ihre IT-Systeme und Abläufe nicht genügend, können sie nach einem ungewollten Informationsabfluss nur mit großem Aufwand nachvollziehen, wo Sicherheitslücken bestehen.

Die Sicherheitsfanatiker wiederum missverstehen Kontrolle als Machtinstrument und Existenzberechtigung zur eigenen Absicherung. Dabei riskieren Unternehmen, dass Mitarbeitern Wissen versperrt wird, das diese möglicherweise für ihre Arbeit und neue Ideen gut gebrauchen können.

Risikomanagement methodischer angehen

Für das rechte Maß an Kontrolle braucht es eine noch professionellere Methodik von IT-Überwachung, als sie aktuell in vielen Unternehmen zu finden ist. IT-Kontrollen sollten sich immer an den gerade herrschenden und an künftigen Risiken in den Abteilungen und Geschäftsbereichen orientieren.

Systematisches und gezieltes IT-Risikomanagement scheitert allerdings immer noch am praktizierten „Management by Excel“. Logfile-Informationen wandern in Datensammlungen und werden, wenn überhaupt, mit hohem Aufwand händisch ausgewertet.

Ziel sollte es stattdessen sein, professionelle Methoden und automatisierte Prüfmechanismen zu etablieren. Dazu gehört auch, IT-Sicherheit als integralen Bestandteil von Prozessen zu sehen, nicht als separate Aufgabe in extra dafür abgestellten Abteilungen. Prozesseigner müssen Kontrollen hinsichtlich IT-Sicherheit als ebenso selbstverständlich betrachten wie die Überwachung des reibungslosen Ablaufs des Prozesses.

Sie sollten zudem geeignete Kontrollpunkte in den Prozessen einrichten. Passende Überwachungsstationen sind beispielsweise Stellen, wo Medienbrüche oder risikobehaftete Handlungen stattfinden, beispielsweise bei Auszahlungen.

(ID:39050910)