Informationstechnik dringt in immer mehr Lebens- und Arbeitsbereiche ein, und die Abhängigkeit unserer Wirtschaft von einer funktionierenden IT steigt. "In gleichem Maße nimmt auch die Bedeutung von Datensicherheit zu", sagt Dirk Fox. Er ist Geschäftsführer von Secorvo Security Consulting in Karlsruhe. Das Unternehmen bietet Beratung und Unterstützung in allen Fragen der Datensicherheit - von der Prävention über den Betrieb bis hin zur Forensik.
André Domnick arbeitet seit März 2014 bei Secorvo. Er hat an der Hochschule Offenburg Unternehmens- und IT-Sicherheit studiert. Domnick überprüft Web-Anwendungen hinsichtlich IT-Sicherheit, unterstützt Softwareentwickler darin, von vornherein sichere Software zu erstellen, und betreibt Computerforensik. Bei letzterer Aufgabe geht es darum, von Eindringlingen verursachte Schäden zu analysieren und herauszufinden, wie der Angreifer ins Netz kam und wie sich das Unternehmen wirksam schützen kann.
Schwachstellen aufzeigen
Und Domnick führt Penetrationstest aus. "Um Schwachstellen aufzuzeigen versuche ich, in Firmennetze einzudringen und sie zu übernehmen. Ich teste, welche Möglichkeiten ein echter Angreifer hätte."
Zuletzt hat ein mittelständisches Industrieunternehmen Secorvo mit der Frage beauftragt: Sind wir angreifbar? Es fürchtet Wirtschaftsspionage. Konstruktionsdaten und Produktionsprozesse sind begehrte Güter. Schließlich hängt jede Maschine heute am Netz. Domnick versucht mit seinen Tests auch Portale zu knacken, in denen Kunden Waren bestellen und bezahlen.
"Ich muss mich in unterschiedlichen Programmiersprachen auskennen, ebenso mit Netzwerken, immer auf dem aktuellen Stand der Technik sein und mich rasch in neue Umgebungen einarbeiten können." Hinzu kommt Kryptografie: Wie wendet man Verschlüsselung an, und was steckt dahinter?
Kosten einschätzen
"Neben tiefen fachlichen Kenntnissen brauchen IT-Sicherheitsexperten vor allem die Fähigkeit, beispielsweise die Skalierbarkeit von Schutzmaßnahmen in großen oder schnell wachsenden Unternehmen zu beurteilen", sagt Fox.
Darüber hinaus sollten sie die Betriebskosten einer Lösung einschätzen, organisatorische gegenüber technischen Maßnahmen abwägen und Nutzerakzeptanz oder Umsetzbarkeit beurteilen können.
- Formalisieren Sie Risiko-Management und IT-Security
Gießen Sie Ihr Risiko- und IT-Sicherheits-Management in eine wiederhol- und messbare Form. Diese umfasst in der Regel vier Phasen: Governance, Planung, Aufbau und Betrieb. - Messen Sie den Reifegrad
Nutzen Sie eine Reifegradskala, um Planungslücken und ungenutzte Chancen des IT-Security-Programms zu finden. Solch eine Skala ist überdies ein gutes Mittel, um solchen Entscheidungsträgern das Thema zu veranschaulichen, die mit Technologie nicht immer etwas anfangen können. - Fahren sie risikobasierte Ansätze
Risiko-Management heißt auch, dass es den perfekten Schutz nicht gibt. Unternehmen sollten bewusste Entscheidungen über ihr Handeln und Nichthandeln fällen, was das Eingehen von Risiken betrifft. Das betrifft nicht nur die IT-Abteilungen, sondern vor allem auch die Nicht-IT-Bereiche. Über allem steht, das Risiko-Manager vorbeugende Ansätze befolgen, die Risiken von Anfang an minimieren. Schließlich sollen sie die Risiken steuern, und sich nicht von diesen steuern lassen. - Nutzen Sie Kennzahlen
Wer im Risiko-Management tätig ist, muss Kennzahlen definieren, an denen er seine Geschäftsprozesse ausrichten kann. Das sind zum einen KPIs (Key Performance Indicators), zum anderen KRIs (Key Risk Indicators). Letztere sollten sich aber nicht nur auf IT-zentrierte Kennzahlen konzentrieren - sonst besteht die Gefahr, zu meinen, dass die Risiken ausschließlich von der IT ausgehen. - Passen Sie Ihre KRIs den KPIs an
Die meisten Unternehmen arbeiten mit einer Fülle von Risiko- und Security-Kennzahlen. Auch wenn diese für interne Prozesse extrem wertvoll sind, haben sie doch meist nur einen geringen Wert für die Unternehmensentscheider. Gute KRIs sind deshalb einfach, messbar und haben einen direkten Einfluss auf viele der KPIs. - Entkoppeln Sie operative Messgrößen von der Vorstandskommunikation
Verwenden Sie keine operativen Messgrößen auf Vorstandsebene. Entscheidern fehlt das Hintergrundwissen und das Training, mit diesen in einem Business-Kontext umzugehen. - Kommunizieren Sie klar, was geht und was nicht
In einer risikobasierten Welt will eine Business-orientierte Zuhörerschaft genau wissen, welche Risiken drohen, welche Haltung ein Unternehmen dazu hat und was dagegen unternommen wird. Beantworten Sie diese Fragen für jeden verständlich, haben Sie den "Kampf" schon halb gewonnen.
Dieser Artikel ist im COMPUTERWOCHE-Sonderheft "Zukunft der IT-Profis" erschienen, welches hier zum kostenlosen Download (PDF) zur Verfügung steht.