13

Mai

2019

IT-Sicherheit neu denken

IT-Sicherheit neu denken

Das Angebot an IT-Sicherheits-Produkten und -Dienstleistungen ist riesig. Dennoch steigt die Zahl der Unternehmen immer weiter an, die durch Hacker-Angriffe geschädigt werden. Das Problem: Die meisten Unternehmen reagieren auf die Gefahr aus dem Netz mit Einzelmaßnahmen. Die Angriffsvektoren sind heute allerdings so zahlreich, dass dieser Ansatz scheitern muss. IT-Sicherheit kann nur dann wirksam sein, wenn sie systematisch und ganzheitlich umgesetzt wird. Dies ist eine von insgesamt 10 Thesen, mit denen der IT-Sicherheits-Pionier Dr. Gerhard Weck einen neuen Denkansatz für die IT-Sicherheit entwickelt hat.

  1. 100-prozentige Sicherheit gibt es nicht. IT-Systeme werden immer komplexer und Hacker immer raffinierter. Daher ist es illusorisch, alle potenziellen Risiken durch Hackerangriffe ausschalten zu können. Unternehmen müssen vielmehr lernen, bei der fortschreitenden Digitalisierung ihrer Geschäftsprozesse eine Balance zwischen Nutzen und Risiko zu finden – so, wie wir es tagtäglich tun, wenn wir Flugzeuge besteigen oder die Straße überqueren.
  2. IT-Sicherheit ist eine Frage des systematischen Vorgehens. In vielen Unternehmen gleichen die IT-Sicherheitsmaßnahmen einem Flickenteppich aus komplexen Passwörtern, einer Netzwerk-Firewall, einem Antivirenprogramm und anderem mehr. Gleichzeitig werden Mobiltelefone und Cloud-Anwendungen genutzt, ohne an Sicherheitsmaßnahmen zu denken. Doch nur wer alle Angriffspunkte systematisch im Blick hat, kann sich vor Angriffen schützen.
  3. IT-Sicherheit ist eine Frage der Transparenz. Wer für mehr IT-Sicherheit im Unternehmen sorgen will, muss wissen, welche Daten wo abliegen, wie viele Rechner an das Unternehmensnetzwerk angeschlossen sind und welche Software-Version wo im Einsatz ist. Erst dann können wirksame Schutzmaßnahmen ergriffen werden.
  4. IT-Sicherheit ist eine Frage der Priorisierung. Personaldaten, Baupläne oder geheime Strategiepapiere brauchen mehr Schutz als das Kantinenmenü oder eine Firmenbroschüre. Deshalb muss zunächst festgelegt werden, welche Daten im Unternehmen wichtig und welche weniger wichtig sind.
  5. Die höchste Form der Sicherheit ist die Abschottung. IT-Systeme mit kritischen Informationen sollten vom restlichen Firmennetz getrennt werden. Im Falle eines Angriffs hat ein Hacker keinen Zugriff auf sie.
  6. Die größte Sicherheitslücke ist der Mensch. Das Öffnen von infizierten Email-Anhängen, der Besuch unsicherer Webseiten oder der Verlust eines USB-Sticks: Durch die Unachtsamkeit von Mitarbeitern erhalten Unbefugte tagtäglich Zugriff zu sensiblen Unternehmensdaten. Die Sensibilisierung der Mitarbeiter und klar und verständlich formulierte Richtlinien sind daher entscheidende Bausteine der IT-Sicherheit.
  7. IT-Sicherheit braucht Überzeugungsarbeit. Wer den Einsatz privater Mobiltelefone untersagt und die App-Nutzung einschränkt, macht sich bei seinen Mitarbeitern nicht beliebt. Strenge Sicherheits-Maßnahmen können sogar ein Nachteil sein im Wettbewerb um neue Mitarbeiter. Damit IT-Sicherheit im Unternehmen zum Erfolg wird, braucht sie gute Argumente, die überzeugen.
  8. IT-Sicherheit ist eine Management-Aufgabe. IT-Sicherheit ist ein Großprojekt, das in alle Geschäftsbereiche hineinspielt und kontinuierlich weitergeführt werden muss. Die Anstrengungen fruchten nur, wenn sie von der Geschäftsführung und dem gesamten Management mitgetragen werden.
  9. IT-Sicherheit kostet Geld. Unternehmen müssen begreifen, dass sich IT-Sicherheit nicht zum Nulltarif erzielen lässt. Investitionen in qualifizierte Mitarbeiter, professionelle Dienstleister sowie technisch ausgefeilte IT-Sicherheitsprodukte sind unverzichtbar.
  10. Die Politik muss den Druck auf Unternehmen erhöhen, IT-Sicherheit umzusetzen. IT-Sicherheit ist längst kein “nice-to-have“ mehr. Sie schafft die Basis für eine gesunde Wirtschaft und ein sicheres Zusammenleben. Viele Unternehmen schätzen die Bedrohung jedoch falsch ein. Daher braucht es schärfere IT-Sicherheitsgesetze, die die fortschreitende Digitalisierung auf einen sicheren Boden stellen.
Profil/Autor
Dr. Gerhard Weck
Freier Berater | im Ruhestand
Dr. Gerhard Weck ist einer der Gründungsväter der IT-Grundschutz-Methode des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Er war viele Jahre als Berater und Auditor für die Zertifizierung nach IT-Grundschutz bei der INFODAS GmbH tätig.