Laut Gartner steigen die Investitionen in IT-Security-Lösungen massiv an, und zwar deutlich schneller als die generellen IT-Investitionen. Dazu gehören DDI (DNS, DHCP und IPAM)-Lösungen, die für eine schnellere und genauere Bereitstellung von DNS/DHCP-Diensten, die Absicherung des DNS und den Umstieg auf hybride Clouds eine wichtige Rolle spielen. Diese Anwendungsszenarien ermöglichen es Unternehmen Kosten zu senken, ihre Serviceangebote zu verbessern, das Netzwerk abzusichern und Services in die Cloud zu migrieren.
Wenn Unternehmen Geld in IT-Lösungen investieren, sollen sich die Anschaffungen natürlich auszahlen. Leider hört die Investitionsbereitschaft oftmals mit der Beschaffung der Lizenzen auf. Doch das ist in vielen Fällen zu kurz gesprungen. Denn es lohnt sich Trainingsprogramme und Schulungen der Anbieter zu nutzen, um mit einer Investition wirklich durchstarten zu können. Ohne genaue Kenntnis der Funktionen und Möglichkeiten und ohne trainierte Handhabung von Neuanschaffungen kann das schwierig werden. Dann ist Enttäuschung vorprogrammiert und Zweifel an der Wirtschaftlichkeit einer IT-Investition werden laut.
Besonders wenig Beachtung erfahren in vielen Unternehmen Trainings für Produkte aus dem Bereich DDI/DNS-Security. Zwar sind Unternehmen durchaus bereit, diese angreifbare Stelle im Netzwerk zu schützen und in entsprechende Software zu investieren. Doch an den Produkttrainings für die Sicherheitslösungen wird allzu gern gespart. Die Folge: Die IT-Investition verharrt bei einem "Teilnutzen" und erzielt nicht den "return on investment" (ROI), der eigentlich möglich wäre - und von dem in der Investitionskostenberechnung ausgegangen wurde. Warum? Weil sich schlicht und einfach niemand wirklich auskennt und Mitarbeiter nach der technischen Implementierung mit neuen Tools und bestenfalls einem dicken Handbuch alleingelassen werden.
Inhouse-Know-how spart externe Kosten
Sicher: Auch Training kostet. Doch es rentiert sich in den allermeisten Fällen. Klar wird das an folgendem Rechenbeispiel: Angenommen, die Implementierung einer durchgängigen, unternehmensweiten DDI-Lösung beläuft sich auf rund 55.000 Euro externe Kosten. Wird hier von Anfang an eine Inhouse-Kraft durch ein intensives Training fachkundig mitgeschult, kann diese bereits in der Startphase bis zu 20 Prozent des Implementierungsaufwands selbst übernehmen - immerhin ein Gegenwert von 11.000 Euro. Deutlich darunter liegen die Kosten für das intensive Training eines Mitarbeiters mit knapp 7000 Euro. Kurz: 7000 Euro investiert, 11.000 Euro gespart - macht einen ROI von rund 57 Prozent.
Diese Rechnung lässt sich weiterführen, wenn sich zum Beispiel die Business-Anforderungen ändern oder Upgrades notwendig werden. Dann würden erneut Kosten für externen Support anfallen - die man sich jedoch getrost sparen kann, wenn das interne Personal über entsprechendes Know-how verfügt. Dass Schulungen darüber hinaus auch Mitarbeiterbindung und Motivation am Arbeitsplatz fördern können, weist zudem über den rein finanziellen Aspekt hinaus. Doch das ist noch nicht alles: Zwei Gründe sprechen dafür besonders im Bereich DDI-Security fundierte Inhouse-Expertise aufzubauen: Compliance und Hochverfügbarkeit.
Hohe Verfügbarkeit ist bares Geld wert
Der Schutz von Daten durch die Durchsetzung von Policies und Sicherheit kann durch Bewusstseinsbildung und praxisorientiertes Training verbessert werden. Aktuelles Compliance-Training behandelt in der Regel Fragen wie: Welche Steuerungsmaßnahmen sind nach Vorschriften wie Sarbanes-Oxley, HIPAA, PCI DSS etc. erforderlich? Wie können Sicherheitskontrollen implementiert, gepflegt, kontrolliert und gemeldet werden?
Generell hat der Schutz von Daten vor kompromittierenden Vorgängen via DNS Top-Priorität. Zwar gibt es spezifische Lösungen, um solche und andere Fälle zu verhindern. Doch unterm Strich gilt es, durch fortwährendes Lernen, Beobachten des eigenen Netzwerks und entsprechende Weiterbildung, Bedrohungen rechtzeitig zu erkennen und dementsprechend schnell auf die sich ständig verändernde Art der Angriffe zu reagieren. Denn Mirai, Dyn, WannaCry und Co. waren sicher nur Vorboten künftiger Angriffe - und Data Infiltration sowie Exfiltration erfreuen sich bei kriminellen Hackern wachsender Beliebtheit.
Beim zweiten kritischen Bereich, der Hochverfügbarkeit, gilt: Sie ist meist Voraussetzung für zahlreiche unternehmenskritische Prozesse. Will heißen: Der finanzielle Wert der Systemverfügbarkeit fällt immer dann besonders auf, wenn sich die Ausfallkosten nach einem Security-Problem rasant summieren. In einem IT-gestützten Produktionsbetrieb kommen zum Beispiel zu den Kosten der Systemsanierung noch der Ausfall der im Stillstand nicht produzierten Güter - sowie der unproduktive "Leerlauf" der Mitarbeiter. Solche Ausfallkosten können enorm sein - und türmen sich unter Umständen schnell auf, je nach Branche und Organisationsgröße.
80 Stunden Downtime pro Jahr gehen ins Geld
Der Wirtschaftsinformationsdienst Dunn & Bradstreet berichtet, dass 59 Prozent der Fortune-500-Unternehmen mindestens 1,6 Stunden ungeplante Ausfallzeiten pro Woche erleben. Auf das Jahr gerechnet ergibt dies mehr als 80 Stunden Downtime. Natürlich gibt es DDI-Lösungen, die selbst bei temporären Netzwerk-, Hardware- oder Service-Ausfällen Hochverfügbarkeit für eine Domain garantieren. Dennoch ist das Konfigurieren, Testen und Verwalten eines Hochverfügbarkeits-Systems keine triviale Aufgabe. Ursache für einen Fehler ist oft eine falsche Konfiguration des Hochverfügbarkeits-Systems. Durch gezielte Schulungen der Mitarbeiter lernen diese, die Risiken eines ungeplanten Ausfalls zu verringern, welcher letztlich eine Kosten-Kaskade auslösen würde.
Letztendlich spricht viel für weiterbildende Maßnahmen innerhalb des eigenen Unternehmens. Leider ist es immer noch vielerorts Realität, dass Unternehmen in ihrem Soll mit zwei Weiterbildungstagen pro Jahr eher ein "Pflichtprogramm" sehen. Das Problem liegt erstens darin, dass generell zu wenig Trainings angeboten werden und diese zweitens häufig den Aspekt DDI/DNS-Security vernachlässigen. So kommen viele Bereiche zu kurz, die es eigentlich wert wären, dass man sich ihnen intensiver widmet. Für Produkt-Schulungen im Bereich DDI/DNS-Security kann bereits eine einfache Kosten-Nutzen-Rechnung Argumentationshilfe leisten, damit sich das künftig ändert. (fm)
- Bestimmen Sie Metriken
Seien Sie in der Lage, den Erfolg Ihrer Bemühungen zu belegen. Das können Sie nur, wenn Sie Kennzahlen definieren, bevor Sie Ihr Awareness-Programm beginnen. Möglich sind Fragebögen zum Verhalten in bestimmten Situationen oder Phishing-Simulationswerkzeuge, die einen Angriff vor und einen nach den Trainigsmaßnahmen nachstellen. Ebenfalls lassen sich durch Mitarbeiter ausgelöste Incidents zählen - wie versuchte Besuche gesperrter Websites. - Bleiben Sie flexibel
Konzentrieren Sie sich nicht nur auf die Präventionsarbeit. Die Idee der "menschlichen Firewall" ist weit verbreitet, sie kommt aber erst dann zum Einsatz, wenn ein Angriff erfolgt. Warum nicht auch auf "menschliche Sensoren" setzen und bevorstehende Attacken versuchen zu erkennen? Lassen Sie Ihre Angestellten nach Indikatoren Ausschau halten, die einen möglichen Angriff ankündigen. Wenn Phishing-Simulationen stattfinden, sollte man auch darauf achten, wie viele Testteilnehmer den Angriff erkennen und melden. - Lassen Sie Regeln brechen
Wer sich nicht an Security-Regeln hält, kann seine eigene Security-Awareness steigern. Das Unternehmen sollte seinen Mitarbeitern ab und zu - nicht regelmäßig, damit es nicht zur Gewohnheit wird - die Freiheit geben, bestimmte Sicherheitsregeln zu brechen - aber nur solche, die keinen unmittelbaren Schaden anrichten. Nur wenn sie die Regel brechen, können die Mitarbeiter erkennen, was passiert, wenn die Regel gebrochen wird und warum es sie letztlich gibt. In einem Gespräch zwischen IT-Sicherheitsteam und Mitarbeitern lässt sich dann gemeinschaftlich nachvollziehen, welchen Zweck eine bestimmte Richtlinie verfolgt. - Wählen Sie einen neuen Ansatz
Die meisten Awareness-Programme haben nicht dazu geführt, dass die Mitarbeiter ihr Verhalten geändert haben. Das liegt nach Meinung vieler Experten aber daran, dass sie gar nicht darauf ausgelegt waren, das Verhalten zu ändern - sie sollten einfach nur geltende Compliance-Vorgaben erfüllen. Also wurde wenig in diese Trainings investiert - sowohl finanziell als auch inhaltlich. Nur, wer Gehirnschmalz in die inhaltliche Ausgestaltung seiner Securiy-Trainings steckt, kann das Mitareiterverhalten ändern. - Holen Sie sich Unterstützung vom C-Level
Wer die Unterstützung der Entscheiderebene hat, macht seine Security-Trainigs erfolgreicher. Wer ein Awareness-Programm plant, sollte sich zunächst starke Unterstützung von oben holen - und sei es nur mit Worten. Das führt zwangsläufig zu einer größeren Aufmerksamkeit in der Belegschaft, mehr Freiraum in der Ausgestaltung und Unterstützung anderer Abteilungen. - Machen Sie gemeinsame Sache mit anderen Abteilungen
Wenn ein IT-Security-Mitarbeiter ein Awareness-Trainingsprogramm aufsetzt, sollte er neben dem Vorstand auch andere Fachbereiche mit ins Boot holen - Personal, Marketing, Legal, Compliance, Datenschutzbeauftragter und Hausverwaltung. All diese Abteilungen haben ein direktes oder indirektes Interesse an dem Thema Security und können bei der Werbung und der Finanzierung helfen. Außerdem haben sie die Möglichkeit, die Trainings für die Mitarbeiter verpflichtend zu machen. - Seien Sie kreativ
Wer nicht kreativ ist, kann kein gutes Security-Training anbieten. Dazu könnte beispielsweise gehören, im Rahmen einer Firmenfeier im Eingangsbereich des Gebäudes eine Security-Wand aufzubauen, auf der - neben anderen Dingen - zehn gängige Sicherheitsfehler aufgeführt sind. Die Mitarbeiter, die alle zehn Fehler benennen können, nehmen an einer Verlosung teil. - Setzen Sie sinnvolle Zeitfenster
Die meisten Trainingsprogramme laufen über ein Jahr - jeder Monat steht unter einem bestimmten Thema. Besser ist ein 90-Tage-Plan - dadurch werden Inhalte und Ziele jedes Quartal neu auf den Prüfstand gestellt. So sind viele Programme deshalb erfolgreich, weil sie über ein Vierteljahr hinweg jeweils drei Themen parallel behandeln und die Themen dann wieder neu ausgesucht werden. So bleiben Sie auf dem Laufenden. - Wählen Sie einen multimedialen Ansatz
Jeder Mitarbeiter bringt andere Voraussetzungen mit, was IT-Sicherheit angeht. Jede/r möchte anders abgeholt werden. Setzen Sie daher auf verschiedenste Kommunikationskanäle, um für das Thema IT-Sicherheit zu sensibilisieren - beispielsweise über Newsletter, Poster, Spiele, Newsfeeds, Blogs, Phishing-Simulationen etc.