Werbung
Werbung

Warum die Sicherheitsstrategie für Unternehmen so wichtig ist

Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp
Share on email
Share on print

Warum die Sicherheitsstrategie für Unternehmen so wichtig ist

Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp
Share on email
Share on print
Einer 2012 durchgeführten Umfrage unter 1.015 US-Kleinunternehmen zufolge haben nicht wenige von ihnen ein trügerisches Sicherheitsgefühl, was ihre IT-Infrastruktur betrifft. Mehr als drei Viertel (77 Prozent) glauben, dass ihr Unternehmen vor Cyber-Gefahren wie Hackern, Viren, Malware oder Sicherheitsverletzungen sicher ist. Das Problem dabei: 83 Prozent der Befragten verfügen über keine formale Sicherheitsstrategie.
Sicherheitsstrategie.

Einer 2012 durchgeführten Umfrage unter 1.015 US-Kleinunternehmen zufolge haben nicht wenige von ihnen ein trügerisches Sicherheitsgefühl, was ihre IT-Infrastruktur betrifft. Mehr als drei Viertel (77 Prozent) glauben, dass ihr Unternehmen vor Cyber-Gefahren wie Hackern, Viren, Malware oder Sicherheitsverletzungen sicher ist. Das Problem dabei: 83 Prozent der Befragten verfügen über keine formale Sicherheitsstrategie.

Diese Erkenntnisse stammen aus einer Umfrage, die 2012 von der nationalen Allianz für Cybersicherheit (NCSA) und Symantec veröffentlicht wurde. (Die gesamte Umfrage ist hier noch abrufbar.)

Trügerisches Sicherheitsempfinden

Auf der Grundlage weiterer Informationen, die 2015 von der Towergate-Versicherung gesammelt wurden, lässt sich feststellen, dass 97 Prozent der kleinen und mittleren Unternehmen (KMU) nicht glauben, eine Verbesserung ihrer Online-Sicherheit sei für ihr künftiges Wachstum wichtig, 82 Prozent halten sich nicht für ein potenzielles Angriffsziel, 32 Prozent glauben, sie würden vermutlich keine Verluste erleiden, 31 Prozent haben keinen Plan, wie auf Sicherheitsverletzungen zu reagieren ist, 24 Prozent glauben, dass Cybersicherheit zu teuer ist und 22 Prozent räumen immerhin ein, dass sie gar nicht wissen, wo sie anfangen sollen.

Sicherheitsstrategie

Praktisch betrachtet ist eine Sicherheitsstrategie eine Sammlung von Management-Erwartungen, die festlegen, welche Ressourcen zu schützen sind und, allgemein, wie hoch die anzusetzende Sicherheitsstufe sein soll. Bild: © Flown/pixelio

 

Die meisten Einbrüche geradezu simpler Natur

In seinem jüngst gehaltenen Grundsatzreferat bei der Nolacon 2016 hat Dave Kennedy (Gründer von TrustedSec, LLC, Binary Defense, Mitautor von Metasploit und Entwickler des Social Engineering Toolkit) einige seiner Erfahrungen als Penetrationstester geschildert. Einer der wesentlichen Punkte seiner Rede stand im Gegensatz zu dem, was die meisten Leute über die Art denken, wie Hacker in Netzwerke eindringen und sie ausbeuten. Die meisten IT-Sicherheitsbeauftragten machen sich Gedanken darüber, Sicherheitskontrollen einzuführen, um die neuesten APTs (Advanced Persistent Threats), die aktuellste Malware und andere Exploits zu stoppen. In Wirklichkeit, so Kennedy, „sind die meisten Einbrüche geradezu simpler Natur … Sie hatten in den letzten zehn Jahren furchtbar schlechte Sicherheitspraktiken und wurden übertölpelt, weil Sie Adobe Reader seit ungefähr 10 Jahren nicht aktualisiert hatten! Weil Sie furchtbar schlechte Sicherheitspraktiken an den Tag gelegt haben, sind sie Ziel eines Angriffs geworden.“ (Dave Kennedys Rede zum Nachlesen).

Warum aber liegen die meisten Unternehmen derart daneben und setzen beim Thema IT-Sicherheit gerne mal auf das falsche Pferd? Wie lässt sich das ändern? Was hat es mit der Diskrepanz zwischen den geäußerten Überzeugungen und der praktischen Umsetzung auf sich und warum spielt das eine Rolle?

Unternehmensweite Sicherheitsstrategie

Alles beginnt bei einer unternehmensweiten Sicherheitsstrategie. Ein Unternehmen ohne solide Sicherheitsstrategie zu führen, ist dasselbe, wie in anderen Unternehmensbereichen auf Richtlinien zu verzichten. Stellen Sie sich das Chaos vor, gäbe es keine Richtlinien, die Abläufe und Standards für Dienstleistungen, Produkte oder Marken festlegen. Jedes so agierende Unternehmen würde in kurzer Zeit scheitern. Ein Unternehmen ohne solide Sicherheitsstrategie zu führen, ist nichts anderes. Ungeachtet aller Maßnahmen, die Sie hinsichtlich der IT-Sicherheit ergreifen, die Bemühungen werden nicht ausreichen und aller Wahrscheinlichkeit nach fehlschlagen.

Die drei Grundkomponenten von Sicherheit: Vertraulichkeit, Integrität und Verfügbarkeit.

Eine Sicherheitsstrategie ist laut (ISC)2 definiert als ein „strategisches Werkzeug zur Festlegung, wie sensible Informationen und Ressourcen zu managen und zu schützen sind“ (siehe den offiziellen Leitfaden von (ISC)2 für CISSP CBK – 4. Auflage, S. 1248). Eine Sicherheitsstrategie im weitesten Sinne beschreibt die gesamte Haltung einer Organisation in Sachen Sicherheit und schließt Richtlinien zu Personal-, Informations- und Technologie-Ressourcen ein. Alle Richtlinien drehen sich um die drei Grundkomponenten von Sicherheit – Vertraulichkeit, Integrität und Verfügbarkeit.

Nicht selten herrscht im IT-Bereich fälschlicherweise die Annahme vor, dass IT-Sicherheit von den übrigen Sicherheitspraktiken eines Unternehmens abtrennbar ist. IT-Sicherheit als separaten Prozess zu betrachten ist aber ganz im Gegenteil einer der Gründe für die von der NCSA-Umfrage festgestellte Diskrepanz.

Welche Ressourcen sind zu schützen?

Praktisch betrachtet ist eine Sicherheitsstrategie eine Sammlung von Management-Erwartungen, die festlegen, welche Ressourcen zu schützen sind und, allgemein, wie hoch die anzusetzende Sicherheitsstufe sein soll. Die praktische Umsetzung einer Sicherheitsstrategie erfolgt durch die Anwendung von Verfahren, Standards, Leitfäden und Grundsätzen. Diese Umsetzungsschritte werden typischerweise von der IT-Abteilung ausgeführt. Sobald diese Umsetzungsschritte abgeschlossen sind, sollte ein Auditing stattfinden, um sicherzustellen, dass die Ziele der Sicherheitsstrategie erreicht werden, und um Empfehlungen zu entwickeln, verbleibende Lücken zu schließen.

Sicherheitsstrategien dienen auch dazu, die Verpflichtung der Management-Teams zur Anwendung der „gebotenen Sorgfalt“ beim Schutz sensibler Ressourcen zu dokumentieren. Die Anwendung der Sicherheitsstrategie durch die Implementierung von Verfahren, Standards, Leitfäden und Grundsätzen dient als Grundlage für die „erforderliche Sorgfalt“, die in einer Organisation oft obligatorisch ist. Um eine fundierte Sicherheitsstrategie zu entwickeln, muss eine Organisation alle Ressourcen berücksichtigen, die abgesichert werden müssen. Erst auf dieser Basis kann man eine Risikoanalyse durchführen, um das Verlustpotenzial und die damit verbundenen Kosten zu bestimmen.

Einen Königsweg der Netzwerksicherheit gibt es nicht

Wie viel Sicherheit ist genug Sicherheit? Einfach genug. Einen Königsweg der Netzwerksicherheit gibt es zwar nicht, aber eine solide Sicherheitsstrategie berücksichtigt alle vorhersehbaren Risiken. Durch die Implementierung einer Sicherheitsstrategie kann man darauf vertrauen, dass die Risiken auf ein Niveau reduziert werden, das für die Geschäftsführung akzeptabel ist.

Ohne Sicherheitsstrategie wird jeder Sicherheitsaspekt innerhalb einer Organisation suspekt. Die Mitarbeiter haben dann keine Grundlage, um Entscheidungen in Sicherheitsfragen zu treffen, und es gibt keine Möglichkeit, die Effizienz der vorhandenen Kontrollen zu messen. Bei Entscheidungen gibt es keine Kriterien, nach denen jemand darüber Rechenschaft ablegen kann, und bei Veränderungen im Management oder der IT-Abteilung ist die Kontinuität gefährdet. Dadurch, dass sich die vorhandenen Kontrollen nur schwer bewerten lassen, fehlt die kalkulatorische Basis für weitere Investitionen in die IT-Sicherheit.

Vom praktischen Standpunkt aus betrachtet, beginnt die Lösung des Problems damit, eine unternehmensweite Sicherheitsstrategie zu entwickeln und umzusetzen. Das erfordert neben Zeit und Entwicklungsaufwand vor allem, dass die IT-Abteilung und die Geschäftsführung miteinander kooperieren. Haben Sie einmal damit begonnen, Ihre unternehmensweite Sicherheitsstrategie zu entwickeln und zu verfeinern, dann werden die Sicherheitspraktiken in ihrem Unternehmen fast automatisch umfassender. Das werden auch ihre Kunden bemerken.

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on xing
XING
Share on whatsapp
WhatsApp
Share on email
E-Mail
Share on print
Drucken

Ihre Meinung zum Artikel

Abonnieren
Benachrichtige mich bei
guest
0 Comments
Inline Feedbacks
View all comments

Andere Leser haben sich auch für die folgenden Artikel interessiert

Werbung

Top Jobs

Data Visualization App/BI Developer (m/f/d)
Simon-Kucher & Partners, Germany/Bonn or Cologne
› weitere Top Jobs
Werbung

Redaktionsbrief

Tragen Sie sich zu unserem Redaktionsbrief ein, um auf dem Laufenden zu bleiben.

Werbung
Werbung

Aktuelle Ausgabe

Topthema: Aus alt mach‘ IIoT

Fabrik 4.0 – den Maschinenpark digital vernetzen

Mehr erfahren

Wir wollen immer besser werden!

Deshalb fragen wir SIE, was Sie wollen!

Nehmen Sie an unserer Umfrage teil, und helfen Sie uns noch besser zu werden!

zur Umfrage

Tragen Sie sich jetzt kostenlos und unverbindlich ein, um keinen Artikel mehr zu verpassen!

* Jederzeit kündbar

Entdecken Sie weitere Magazine

Schön, dass Sie sich auch für weitere Fachmagazine unseres Verlages interessieren.

Unsere Fachtitel beleuchten viele Aspekte der Digitalen Transformation entlang der Wertschöpfungskette und sprechen damit unterschiedliche Leserzielgruppen an.