Haben Sie auf das richtige Pferd gesetzt?

Sicherheit in der IT ist ein Pferderennen. Beide haben das gleiche Ziel: Der Schnellste sein, ohne störende Hindernisse. Im Kontext der Sicherheit bedeutet das schnell Angriffe zu identifizieren, Maßnahmen zu ergreifen und dadurch einen Systemausfall mit schwerwiegenden Folgen zu verhindern. Es geht um Schnelligkeit, um im Wettbewerb nicht der Langsamste und damit das schwächste Glied […]

Sicherheit in der IT ist ein Pferderennen. Beide haben das gleiche Ziel: Der Schnellste sein, ohne störende Hindernisse. Im Kontext der Sicherheit bedeutet das schnell Angriffe zu identifizieren, Maßnahmen zu ergreifen und dadurch einen Systemausfall mit schwerwiegenden Folgen zu verhindern. Es geht um Schnelligkeit, um im Wettbewerb nicht der Langsamste und damit das schwächste Glied zu sein, sodass der Wettbewerb an einem vorbeizieht. Doch was ist das richtige Pferd?

PhilippKalweitIT ist heutzutage aus keinem Unternehmen mehr wegzudenken. Tägliche Geschäftsabläufe könnten ohne funktionierende IT nicht bewerkstelligt werden. Aus diesem Anlass entstanden freiwillige wie auch verpflichtende Regularien, konkrete gesetzliche Rahmenbedingungen und damit einhergehend das Bewusstsein für Informationssicherheit. Unternehmen investieren in Sicherheitslösungen, führen regelmäßig Audits durch und versuchen eine Sicherheitskultur einzuführen. Alles Maßnahmen, die der Verantwortung des Unternehmens gegenüber Kunden und Mitarbeitenden gerecht werden sollen, beispielsweise firmeninterne Daten sowie die Daten der Kunden zu schützen.

Doch reicht das aus, nur auf technische Lösungen zu setzen? Die Praxis lehrt uns etwas anderes: Erfolgreiche Hackerangriffe finden weiterhin statt. In dem Cybersecurity Report 2017 – Teil 2: Cyberrisiken in Unternehmen von Deloitte zeigt sich deutlich: “Die Anzahl der täglichen bis wöchentlichen Angriffe hat sich in den letzten fünf Jahren fast verdoppelt.”

Die meisten IT-Investments für Sicherheit gehen in die Technik, obwohl die größten Schwachstellen eigentlich beim Menschen und in der Kommunikation liegen. Bestes Beispiel ist der leichtfertige Umgang mit Daten seitens der Mitarbeiter.

Mit einem interdisziplinären Ansatz werden Unternehmen noch wettbewerbsfähiger. Ein Ansatz, der Mensch und Technik integriert, um das Unternehmen und damit verbunden die Schutzziele der IT ganzheitlich und nachhaltig zu schützen. Denn wenn wir Sicherheitsmaßnahmen dort treffen, wo sie wirklich gebraucht werden, reales Risikopotenzial vorhanden ist, dann erst amortisiert sich Cybersecurity und wirkt nachhaltig. Es sorgt für ein Kerngeschäft ohne Hindernisse und wird folglich nicht als Regulierung wahrgenommen.

Unabhängige Dienstleister für IT-Security Consulting, wie die Kalweit ITS, haben es sich zur Aufgabe gemacht, Cybersecurity ganzheitlich zu betrachten. Wann immer Kunden im Rahmen der Unternehmensberatung, durch Penetrationstests oder dem Risiko- wie auch Sicherheitsmanagement unterstützt werden müssen, sollte ein seriöser Dienstleister versuchen Cybersecurity stets für alle attraktiv, verständlich, umsetzbar und selbstverständlich zu machen. Denn Cybersecurity ist keine Regulierung, sondern eine Chance für die Digitalisierung.

Doch wie setzen Sie nun auf das richtige Pferd: Evaluieren Sie Cybersecurity nicht nur in Teilbereichen wie beispielsweise Netzwerksicherheit. Vielmehr muss die Organisation als ganzheitlicher Sicherheitsfaktor betrachtet werden. Denn Sicherheit ist eine Maßnahme gegen echte Gefahrenquellen, weshalb man alle Faktoren der IT-Sicherheit (Strategie, Organisation, Kultur, Prozess und Technologie) einfließen lassen muss. Ein Angreifer sucht sich zumeist auch nicht einen Teilbereich aus, sondern greift eine Organisation dort an, wo es am verwundbarsten ist.

Eine effektive Strategie ist die nachhaltige, interdisziplinäre Strategie, die Veränderung erfordert: Menschen müssen verstehen, warum sie tun sollen, was sie tun sollen.

Die ganzheitliche, interdisziplinäre Sicherheitsstrategie kann Abhilfe schaffen, Schwachstellen aufzuspüren, die vorher noch unbekannt waren, Ursachen für Probleme finden und die Sicherheit auf ein neues Niveau heben. Es hat sich allerdings eines gezeigt: Sicherheit geht nur über die Unternehmenskultur und einen ganzheitlichen Ansatz. Das bedeutet, dass Sicherheit unternehmensweit nicht ausschließlich auf technischer Seite, sondern auch auf menschlicher und sozialer Ebene Anklang finden muss. Menschen, die den Sinn hinter den Vorkehrungen nicht verstehen, sind weitaus resistenter Neuerungen umzusetzen als eigenmotivierte Akteure. Daher folgt: Wenn Mitarbeiter in die Prozesse eingebunden werden, ihnen der Sinn hinter den Neuerungen erklärt wird und Folgen der Nichtbeachtung von Sicherheitsmaßnahmen vor Augen geführt werden, ist es wesentlich wahrscheinlicher, dass diese eingehalten und vielleicht sogar durch sinnvolle Vorschläge verbessert werden. Denn oftmals ist es durchaus so, dass gut gemeinte Sicherheitsrichtlinien oder technische Sicherheitslösungen, die Sicherheit der Anwender nicht erhöhen, sondern ihnen lediglich der Arbeitsalltag erschwert wird. Ein Beispiel ist das oftmals praktizierte regelmäßige Setzen eines neuen Passwortes, etwa einmal alle drei Monate. Was dies zur Folge hat, ist nicht etwa verbesserte Sicherheit, sondern ein erhöhter Aufwand sowie schwache Passwörter.

Investieren Sie nicht nur in Technologie, wenn es um Cybersecurity geht. Verfolgen Sie eine nachhaltige Strategie und nehmen Sie Technologie, Prozesse und vor allem Unternehmens-kultur mit. Denn was bringen Technologie oder Prozesse, wenn diese vom Unternehmen nicht gelebt werden? Und vergessen Sie nicht: Ein Hacker setzt sich auch keine Etappen, sondern ein Ziel: Erfolgreich angreifen, egal wie, egal wo.