IT-Sicherheit ist Segen und Fluch zugleich für Firmen. Auf der einen Seite nehmen Cyberangriffe unentwegt zu, ja gehören inzwischen weltweit zum Alltag. Daher sehen sich zahlreiche Unternehmen in der Handlungspflicht, die IT-Infrastruktur umfassend abzusichern. Auf der anderen Seite ist es ein steiniger und für die meisten auf den ersten Blick kostenaufwändiger Weg, ein ganzheitliches Sicherheitskonzept zu definieren, integrieren und schließlich sinnvoll umzusetzen, vor allem in Vereinbarung mit den eigenen Geschäftszielen.
Das Thema Informationssicherheit scheint angesichts ihrer An- und Herausforderungen in den unterschiedlichsten Bereichen viele Unternehmen praktisch zu überfordern. Einige von ihnen wissen nicht, welche Strategien und Technologien sie benötigen, die auch mit den Bedürfnissen ihres Geschäftsumfelds konform gehen. Aus diesem Grund stellen wir drei Grundbausteine vor, die als Leitfaden neben bestimmten Standards betrachtet werden können. Was ist entscheidend bei der Absicherung Ihrer IT? Worauf sollten Sie nicht verzichten? In unserem ABC der IT-Sicherheit finden Sie Antworten auf solche Fragen.
A) Anpassen der Sicherheitsmaßnahmen an Geschäftsziele
Ganz klar liegt das Ziel im Schutz Ihrer wertvollen Datenbestände. Doch das ist nur die Hälfte der Miete, sofern das Sicherheitskonzept nicht auf Ihre Geschäftsziele ausgerichtet ist. Virenschutz, Firewall, IDS (Angriffserkennungssystem), redundante Server und Backup-Lösungen stehen natürlich ganz oben auf dem (Schutz-)Programm, nützen allerdings wenig, wenn die unternehmerischen Prozesse und Pläne nachteilig davon beeinflusst werden. Jede Veränderung muss im Einklang mit einem für die operativen Bereiche angemessenen Risikolevel stehen.
Womöglich erweist sich das Projekt, die Geschäftsleitung vom Investitionsbedarf zu überzeugen, um den Anforderungen der ISO 27001 – Kontrollen gerecht zu werden, als Mammutprojekt. Womöglich wird dies mehr Aufwand und Zeit einfordern, als ein Sicherheitskonzept umzusetzen. Doch mit der Erkenntnis, dass mit einer Firewall, die den Internetverkehr blockiert oder einer Richtlinie, die das Einstecken von USB-Sticks an Computern untersagt, die geschäftlichen Abläufe gestört werden, sind wir auf dem richtigen Weg, die IT Abteilung nicht mehr als Staatsfeind Nummer 1 zu betrachten.
B) Best Management-Praktiken
Nach diesem ersten und schwersten Schritt der Definierung und Umsetzung von Sicherheitstechnologien und Prozessen in Übereinstimmung mit den operativen Geschäften ist es entscheidend, die Dinge am Laufen zu halten. Genauso wie die IT-Abteilung auf die Vereinbarkeit von Sicherheitsmaßnahmen und Unternehmenszielen achten muss, liegt es an der Geschäftsleitung zu verstehen, dass es sich bei IT-Security um keinen kurzfristigen, sondern permanenten Verbesserungsprozess handelt.
Insofern sollte die Umsetzung in einem mehrstufigen Ansatz erfolgen, um Probleme identifizieren und angemessene Lösungen finden zu können – ohne Beeinträchtigungen auf das operative Geschäft. Die Einbeziehung erfahrener Nutzer ist ein guter Weg für Bewertungsanalysen und Optimierungen von Nutzererlebnissen. Auch die Feststellung, dass Kontrollen technisch gut funktionieren, reicht nicht aus. Entscheidend ist vielmehr, dass sie für Angestellte keine zusätzliche Last darstellen.
Die womöglich größte Herausforderung besteht allerdings darin, die Dinge zu testen, bevor sie im System implementiert werden. Dies sollte auf allen Ebenen erfolgen, insbesondere in puncto Notfallplan oder beim so genannten Business Continuity. Setzen Firmen beispielweise Backup-Lösungen ein, verzichten sie häufig aufs Testen. Die Frage ist, ob diese Schutzmaßnahme tatsächlich bei einem Vorfall zur Genüge greift. Gehen Sie auch hier lieber auf Nummer sicher.
C) Coachen Sie das Bewusstsein Ihrer Mitarbeiter
Die ganze investierte Zeit und Arbeit aus den obigen Schritten könnte vergebens sein, lassen Sie den menschlichen Faktor außer Acht. Die Schulung von Mitarbeitern ist ein maßgeblicher Bestandteil auf dem Weg zu einem erfolgreichen IT-Security-Konzept. Insbesondere, weil die Einführung neuer Richtlinien, Prozesse und Technologien anfangs auf das Unverständnis der Nutzer stoßen kann.
Es ist umso wichtiger, die Skills der Mitarbeiter zu verbessern, die sie für die Beherrschung von Prozessen und Technologien benötigen. Dies hilft ihnen, über die Zeit ein angemessenes Verhalten gegenüber den neuen An- und Herausforderungen zu entwickeln.
Ein Beispiel: Wird Verschlüsselungstechnologie eingeführt, sollte das Unternehmen eben nicht einfach eine Richtlinie umsetzen, sondern auch die Vorteile einer solchen Lösung benennen. Dies gilt gleichermaßen für den Einsatz einer Zwei-Faktor-Authentifizierung, die für Nutzer sehr lästig und unbequem scheint. Auch an dieser Stelle sollten auf die Möglichkeiten und Vorteile verwiesen werden, die solch eine zusätzliche Sicherheitsmaßnahme bietet.
Leider ist die Schulung von Mitarbeitern ein vernachlässigter Aspekt im Bereich der IT-Sicherheit. Die Aufgabe der Geschäftsleitung sollte vielmehr darin liegen, den Mitarbeitern zu veranschaulichen, welche Sicherheitsrichtlinien bereits vorhanden sind und wie sie mit den Kontrollinstrumenten richtig umgehen. Entscheidend ist, dass das Team IT-Security als etwas Bewusstes wahrnimmt, es versteht, warum es so wichtig ist und welche Folgen Nicht-Einhaltung nach sich ziehen können.
Zweifelsohne ist die Umsetzung von IT-Sicherheit mit viel Arbeit verbunden: Es gibt eine Menge an Lesestoff, Richtlinien müssen verfasst und Implementierungen entwickelt werden. Eine Formel zum Erfolg in drei Schritten existiert womöglich im Bereich IT-Security eher weniger, doch mit unserem ABC-Leitfaden wird die Aufgabe etwas überschaubarer. Darüber hinaus markiert er einen Beginn oder eine Neuausrichtung in Sachen Sicherheitsvorkehrungen.
Picture credits: ©fotolia/nata777_7