3. Sicherheit verhindert tatsächlich erfolgreiche Hacks
Da viele Unternehmen nicht die den Risiken angemessenen Ressourcen aufbringen wollen, gelingt Hackern oft der Angriff. Das führt dazu, dass sich vielerorts das IT-Sicherheits-Paradigma des "Assume Breach" etabliert hat. Dabei wird davon ausgegangen, dass früher oder später ein Aggressor die Security-Maßnahmen am Perimeter überwinden wird.
Also werden Maßnahmen implementiert, um die Hacker zu entdecken und unschädlich zu machen, sobald sie im Unternehmensnetz sind. Das ist eine nützliche und auch notwendige Maßnahme. In Ernstfall kann es aber dazu führen, dass man Angreifer mehr oder weniger ungehindert eindringen lässt. Sicher lassen sich nicht alle Lecks abdichten aber Unternehmen können die Zahl erfolgreicher Angriffe merklich verringern.
Konzentrieren sich CISOs auf Patch-Hygiene und Trainings gegen Social Engineering, werden sie die Zahl der erfolgreichen Angriffe in jedem Fall reduzieren. Durch diesen Fokus lassen sich Unternehmensgeräte und Daten wesentlich besser schützen.
4. IT-Sicherheit braucht nicht mehr Geld oder Ressourcen
Nach Schätzungen des Analystenhauses Gartner geben Unternehmen 2018 insgesamt mehr als 114 Milliarden US-Dollar für Cybersicherheit aus. Das Gros davon wird jedoch nicht dazu verwendet, die zwei großen Risiken zu adressieren. Der für regelmäßige Patches und die Vermeidung von Social-Engineering-Angriffen vorgesehene Betrag ist meist ein fixer Anteil der Security-Budgets, der ungeachtet der Bedrohungslage unverändert bleibt.
All das Geld, das für hochmoderne Anti-Malware-Scanner oder Advanced Firewalls ausgegeben wird, ist aber verschenkt, wenn die beiden wichtigen Herausforderungen nicht gelöst werden. Social-Engineering-Abwehr und Patch-Management zu verbessern ist günstiger und gleichzeitig wirksamer, als die anderen Probleme zu priorisieren, die Unternehmen weniger wahrscheinlich treffen.
5. Haltung und Fokus sind wichtiger als das perfekte Sicherheits-Tool
Jeder CISO, der die perfekte, zu 100 Prozent passende Security-Lösung sucht, wird enttäuscht werden. So etwas existiert nicht. Kein einzelnes Tool wird die Vielzahl an Problemen lösen.
Die richtige Haltung und der Fokus auf die wirklichen Herausforderungen bringen Verantwortliche ihrem Ziel dagegen näher. Konzentriert man sich auf die weniger spektakulären, langlebigen Probleme, die den Löwenanteil der Risiken ausmachen, bekommt man mehr für sein Geld.
Welcher Lösungsansatz der richtige für das eigene Unternehmen ist, hängt von der individuellen Strategie ab. Oft wird es auf eine Mischung aus technischen und die Menschen betreffenden Sicherheitsmaßnahmen hinauslaufen. Wichtig ist es, den Schwerpunkt richtig zu setzen. Wenn die beiden größten Risiken gemeistert sind, können die nächstwichtigen angegangen werden und so weiter. Auf die Weise baut man sich eine Organisation auf, die wesentlich schwieriger anzugreifen ist, als bisher.