Suchen

Nutzen und Probleme zentralisierter Security Operations - Teil 1 Vernetzte Geschäftsprozesse erfordern Änderungen bei der IT-Sicherheit

| Autor / Redakteur: Uwe Maurer, CISSP (Integralis) / Peter Schmitz

Neue IT-Technologien wie Virtualisierung oder Cloud Computing, aber auch neue Arbeitsmethoden und die zunehmende Vernetzung der Geschäftsbeziehungen sorgen dafür, dass die Anforderungen an die IT-Sicherheit und das Security Management immer weiter steigen. In vielen Fällen greifen die klassischen Techniken der IT-Security zu kurz. Der korrekte Umgang mit den Daten und Systemen muss heutzutage stärker überwacht und nachgewiesen werden und dies bedarf einschneidender Änderungen bei den Sicherheitsmaßnahmen sowie einer exakten Planung.

Firmen zum Thema

Die Anforderungen an die IT-Sicherheit steigen mit der Vernetzung der Geschäftsbeziehungen. Das Security Management muss sich anpassen und neue Maßnahmen und Konzepte entwickeln.
Die Anforderungen an die IT-Sicherheit steigen mit der Vernetzung der Geschäftsbeziehungen. Das Security Management muss sich anpassen und neue Maßnahmen und Konzepte entwickeln.
( Archiv: Vogel Business Media )

Stellen Sie sich folgendes Szenario vor: Eine erfolgreiche Personalberaterin besitzt hohe Kompetenz beim Innovationsmanagement und hier insbesondere bei der Gruppierung von Mitarbeiter-Skills. Dazu greift sie auf die verschiedenen Daten- und Wissensbanken des Unternehmens zu. Sie arbeitet aufgrund ihrer Spezialisierung für mehrere Unternehmen – oft auch gleichzeitig – und sie muss Informationen von einem Einsatz zum nächsten transportieren. Sie hat eine lokale Firewall und einen Virenschutz installiert, die Daten auf ihrem Notebook sind verschlüsselt und sie wechselt das Passwort ständig. Dennoch sieht sie es als große Herausforderung an, den Nachweis zu erbringen, dass die Daten bei ihr zweifelsfrei sicher sind. Denn die Virtualisierung der Geschäftsbeziehungen und der Arbeitsverhältnisse stellen an die bisherigen Sicherheitsmaßnahmen neue Anforderungen.

Ein anderes Beispiel: Sie können für Reisekostenabrechnungen sehr gut die Dienste von Spezialanbietern nutzen. Diese bieten über das Internet eine Software an, in welche die Mitarbeiter ihre Daten über das Web eintragen können. Das Unternehmen kann Auswertungen so durchführen, dass die Ergebnisse direkt in die internen Systeme übertragen werden. Die Software wird laufend entsprechend der geltenden Vorgaben aktualisiert. Es muss sichergestellt und nachgewiesen werden, dass mit diesen personenbezogenen Daten korrekt und gesetzeskonform umgegangen wird. Der Service-Anbieter muss genügend Sicherheitsmaßnahmen nachweisen können. Allerdings reicht dies nicht in allen Fällen aus, um der eigenen Verantwortung genüge zu tun. Die Informationssicherheit für sensible Daten muss auch bei Anwendungen gewährleistet sein, die nicht auf den eigenen Systemen liegen, sondern als Service von extern genutzt werden.

Oder: In einem Unternehmen ist man gezwungen, die Ausgaben für die Informationssicherheit wesentlich einzusparen. Das wird in Form einer grundsätzlichen Budgetkürzung durchgesetzt. Es gibt keine Informationsgrundlage für eine Entscheidung über die Intensität von Sicherheitsmaßnahmen. Entsprechend werden bestehende Sicherheitsmaßnahmen einfach weiter geführt, aber Wartungskosten dafür eingespart. Anpassungen werden verschoben, zusätzliche Maßnahmen gestrichen, welche die neuen Anforderungen wesentlich besser abdecken würden.

Die effektive Sicherheit der Informationen wird auf diese Weise wesentlich stärker reduziert, als es bei gegebener Einsparvorgabe mit exakter Planung der Fall gewesen wäre. Der Maßnahmenstau steigt noch weiter an, da die Streichungen zu Wildwuchs führen, der beseitigt werden muss, bevor an neue Maßnahmen gedacht werden kann.

Wie in den Beispielen zu erkennen ist, steigen die Anforderungen an die IT-Sicherheit mit der Vernetzung der Geschäftsbeziehungen stetig. In vielen Fällen greifen die klassischen Techniken der IT-Security zu kurz. Der korrekte Umgang mit den Daten und Systemen muss heutzutage stärker überwacht und nachgewiesen werden und dies bedarf einschneidender Änderungen bei den Sicherheitsmaßnahmen sowie einer exakten Planung.

Seite 2: Herausforderungen für den Sicherheitsbetrieb

(ID:2042597)