Die richtige Mischung aus Kontrolle und Vertrauen

Überlegte IT- und Netzwerk-Überwachung

| Autor / Redakteur: Dr. Gerald Spiegel, Steria Mummert Consulting / Stephan Augsten

Beim Überwachen der Mitarbeiter-Aktivitäten im Netzwerk ist Fingerspitzengefühl gefragt.
Beim Überwachen der Mitarbeiter-Aktivitäten im Netzwerk ist Fingerspitzengefühl gefragt. (Bild: alphaspirit - Fotolia.com)

Das Überwachen und Protokollieren der internen Aktivitäten im Netzwerk ist ein zentraler Erfolgsfaktor für IT-Sicherheit. Die richtige Dosis ist allerdings entscheidend, damit Kontrollen von allen Mitarbeitern akzeptiert werden. Und hier hapert es häufig.

Mehr als 40 Prozent der deutschen Unternehmen fehlt das richtige Maß an IT-Überwachung. Zu diesem Ergebnis kommt die Studie „IT-Security“ von Steria Mummert Consulting. Manche Unternehmen empfinden ihre internen Kontrollen als zu lax. 17 Prozent der in der Trendstudie befragten Fach- und Führungskräfte beurteilen die Kontrolle und Überwachung der IT-Sicherheit im eigenen Haus als unzureichend.

In anderen Fällen geht die Überwachung vielen zu weit. Diesen Eindruck hat ein Viertel der Sicherheitsverantwortlichen, so die Untersuchung. Diese extremen Ausschläge in beide Richtungen zeigen: Unternehmen tun sich schwer, das richtige Maß zwischen Freiheit und Kontrolle herzustellen. Einige arbeiten nach dem Motto: „Es wird schon nichts passieren“. Andere Häuser lassen dagegen fast keine Spielräume.

Beide Extreme sind nicht wünschenswert. Kontrollieren Unternehmen ihre IT-Systeme und Abläufe nicht genügend, können sie nach einem ungewollten Informationsabfluss nur mit großem Aufwand nachvollziehen, wo Sicherheitslücken bestehen.

Die Sicherheitsfanatiker wiederum missverstehen Kontrolle als Machtinstrument und Existenzberechtigung zur eigenen Absicherung. Dabei riskieren Unternehmen, dass Mitarbeitern Wissen versperrt wird, das diese möglicherweise für ihre Arbeit und neue Ideen gut gebrauchen können.

Risikomanagement methodischer angehen

Für das rechte Maß an Kontrolle braucht es eine noch professionellere Methodik von IT-Überwachung, als sie aktuell in vielen Unternehmen zu finden ist. IT-Kontrollen sollten sich immer an den gerade herrschenden und an künftigen Risiken in den Abteilungen und Geschäftsbereichen orientieren.

Systematisches und gezieltes IT-Risikomanagement scheitert allerdings immer noch am praktizierten „Management by Excel“. Logfile-Informationen wandern in Datensammlungen und werden, wenn überhaupt, mit hohem Aufwand händisch ausgewertet.

Ziel sollte es stattdessen sein, professionelle Methoden und automatisierte Prüfmechanismen zu etablieren. Dazu gehört auch, IT-Sicherheit als integralen Bestandteil von Prozessen zu sehen, nicht als separate Aufgabe in extra dafür abgestellten Abteilungen. Prozesseigner müssen Kontrollen hinsichtlich IT-Sicherheit als ebenso selbstverständlich betrachten wie die Überwachung des reibungslosen Ablaufs des Prozesses.

Sie sollten zudem geeignete Kontrollpunkte in den Prozessen einrichten. Passende Überwachungsstationen sind beispielsweise Stellen, wo Medienbrüche oder risikobehaftete Handlungen stattfinden, beispielsweise bei Auszahlungen.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 39050910 / Sicherheitsvorfälle)