Diskutiert man über IT-Sicherheit, ist es immer hilfreich, konkrete Beispiele zu betrachten. Nehmen wir zum Beispiel einen Hersteller für Scharniere. Das Alleinstellungsmerkmal des Unternehmens besteht aus Speziallegierungen, welche die Oberfläche der Scharniere haltbar machen. Außerdem verfügt es über Spezialformen, mit denen sich Verbindungen herstellen lassen, die Wettbewerber so nicht produzieren können.
Ein solches Unternehmen hat eine eigene Forschung und Entwicklung und eine Produktion. Die Mitarbeiter benutzen ihre PCs für ihre tägliche Arbeit ganz selbstverständlich und ohne darüber nachzudenken – vielleicht so wie einen Bleistift.
Risikomanagement alleine greift zu kurz
Natürlich hat ein solches Unternehmen ein Risikomanagement. Das Risikomanagement analysiert die Bilanz auf Risiken, bewertet Auslandsaufträge, kümmert sich um die Versicherungen und sieht sich Kreditrisiken an. Es kümmert sich um Brand- und Gebäudeschütz und ein Notfallmanagement. Vielleicht empfiehlt es den Einbau einer Kameraanlage. In den wenigsten Fällen erstellt es ein durchgängiges Sicherheitskonzept, das auch die IT berücksichtigt. Denn die Risikomanager wissen eben nicht, was die einzelnen Mitarbeiter an ihren PCs ganz genau tun, welche Daten sie transformieren und welche Daten sie wie transportieren.
- Splash Screens
Viele scheinbar normale Online-Transaktionen werden heutzutage von reißerischen Splash-Screens begleitet. Meldungen wie 'Securely getting your account details' oder 'setting up a secure connection' sollen ein Gefühl von gesteigerter Sicherheit vermitteln. Tun sie vielleicht sogar in manchen Fällen. Sicherer wird die Transaktion dadurch eher nicht. - Antivirus Software
Antivirus-Software alleine reicht heutzutage nicht mehr aus, um Unternehmensnetzwerke zu schützen, da sie gegen aktuelle Bedrohungen wie Ransomware oft nur wenig ausrichten kann. Negative Auswirkungen haben die Virenschutz-Programme hingegen oft auf die Performance. - Perimeter Security
Firewalls und sonstige Perimeter-Security-Maßnahmen können ebenfalls theatralische Qualitäten aufweisen, denn sie alleine sind der wachsenden Bedrohungslage - insbesondere im Unternehmensumfeld - ebenfalls nicht gewachsen. - Alarm-Ermüdung
Permanente Security-Alerts führen häufig dazu, dass die IT-Abteilung aufgrund hoher Fehlalarmquoten in den Ignoranz-Modus schaltet. Ohnehin können nur circa fünf Prozent der Alerts wirklich tiefgehend untersucht werden. - Ignoranz
Investitionen in Sicherheitsmaßnahmen sind eine gute Sache. Allerdings sollten Unternehmen die Daten, die ihr Security-Equipment sammelt, auch auswerten und analysieren. Ein Haken auf der To-Do-Liste reicht nicht aus. - Passwort-wechsel-dich
Ein Passwort alleine genügt nicht. Insbesondere dann, wenn es sich dabei um bewährte Security-Fails wie "123456" handelt. Und welchen Sinn macht es eigentlich, dass man sein Kennwort alle 30 Tage ändern muss? - Security Training
Die Mitarbeiter simulierten Phishing-Attacken auszusetzen, ohne ihnen vorher entsprechende Schulungsmaßnahmen zuteil werden zu lassen hat in der Regel wenig Effekt. - Harte Worte
Viele Security-Anbieter preisen ihre Lösungen mit militanten PR-Botschaften an. Ob die dadurch noch sicherer werden? Schreien hat jedenfalls noch nie viel geholfen. - Mauer-Fetisch
Wenn die IT-Abteilung lieber mauert statt Lösungen zu suchen, trägt das nicht zur Sicherheit bei. - Sharing
Der Austausch von Daten über aufgedeckte Sicherheitslücken und erfolgte Angriffe ist grundsätzlich eine gute Sache. Dennoch hilft sie Unternehmen nicht dabei, die Angriffsvektoren in ihrem Netzwerk aufzudecken. - Schadens-PR
"Uns liegt die Sicherheit unserer Nutzer am Herzen" heißt es allzu oft, nachdem Unternehmen Opfer einer Hacker-Attacke geworden sind. Gegenfrage: Wie konnte es dann überhaupt erst dazu kommen?
Natürlich ist die IT der Enabler für die Produktion. Das ist bei den meisten Mittelständlern so. Sie wird aber von der Geschäftsleitung nicht als solcher gesehen. Was IT-Sicherheit angeht, agiert sie nach dem Motto: „Ich mache Virenschutz und Firewall und schließe alle Türen ab“. Dabei ist IT-Sicherheit längst mehr als Virenschutz und Firewall. Auf der anderen Seite kann es auch nicht darum gehen, so viele Sicherheits-Tools und -Technologien einzusetzen, koste es, was es wolle. Das ist das andere Extrem.
Klare Vorgehensweise statt Übereifer
Wesentlich ist es zu bewerten, welche Abteilungen oder Verfahren besonders zu schützen sind und welche weniger. In unserem Beispiel muss es für die Forschungsabteilung strengere Auflagen geben als für die Produktion. Die Mitarbeiter akzeptieren diese Unterschiede auch. Schließlich haben die Ingenieure jahrelang an Verfahren gearbeitet, die nicht in die falschen Hände fallen dürfen.
Empfehlenswert ist der Einsatz eines Tools im Vorfeld, um eine Bestandsanalyse vorzunehmen. Auch die rechtlichen Rahmenbedingungen und die Policies eines Unternehmens müssen berücksichtigt werden. Zusätzlich solltne zudem Penetrationstests vorgenommen werden. Auf diese Weise werden Zusammenhänge herausgefunden, die es erlauben, die Daten zu bewerten. Ist die Analyse abgeschlossen, sollte das Unternehmen bei Umsetzung, Zertifizierung – möglicherweise bis zum Audit – begleitet werden.
Das Ziel muss sein, passgenau so viel Sicherheit wie nötig zu gewährleisten. Denn wenn die Mechanismen und Regelungen zu allgemein sind, werden die Mitarbeiter diese umgehen. (haf)