Angemessene Sicherheit

Die Lage der IT-Sicherheit ist problematisch. Die Attacken auf Privatanwender, Behörden und Unternehmen nehmen an Raffinesse und Menge weiter permanent zu. Cyber-Kriminelle haben meist finanzielle Beweggründe und nehmen dabei verstärkt die Wirtschaft ins Visier. Unternehmen aller Größenordnung sind durch Wirtschaftsspionage, Konkurrenzausspähung oder Cyber-Erpressung betroffen. Sabotage und der Versuch politischer Einflussnahme durch Hacktivismus gewinnen aber im Motivspektrum der Täter deutlich an Gewicht.

Advanced Persistent Threats (APTs), die als besonders komplizierte und fortschrittliche Angriffstechnik gelten, sind de facto in vielen Fällen vergleichsweise einfach und mit wenig technischem Wissen umgesetzt. Der Einsatz dieser Angriffswerkzeuge auch durch nicht professionell agierende Akteure wird durch günstigere Beschaffungskosten leichter möglich – ein großes Risiko für die Sicherung sensibler Daten in Unternehmen.

Der Themenkomplex IT-Sicherheit muss daher verstärkt in den Fokus des IT-Managements rücken. Die IT kann bei der Installation von Sicherheitsvorkehrungen aber nicht isoliert vorgehen. Die Einbindung aller betroffenen Unternehmensbereiche ist notwendig, um eine abgewogene Umsetzung der Sicherheitsmaßnahmen vornehmen zu können. Es macht keinen Sinn, die IT-Infrastruktur einer Organisation in ein Fort Knox zu verwandeln, wenn dadurch die Arbeit der eigenen Mitarbeiter in einem unzumutbaren Ausmaß verzögert oder gar eingeschränkt wird.

Auf der anderen Seite muss eine maximale Absicherung der relevanten Daten und Prozesse vorgenommen werden. Wer als Sicherheitsverantwortlicher eine genaue Kenntnis über Risiken, Wahrscheinlichkeiten und Auswirkungen der Sicherheit hat, der kann eine einfache Rechnung aufstellen: Übersteigt die Verringerung des Schadenserwartungswertes den Investitionsbedarf, so ist eine Umsetzung angemessen. Für alle anderen, und das dürfte angesichts der Komplexität der heutigen IT-Landschaften die deutliche Mehrheit sein, bleibt der Weg eines IT-Sicherheitsbenchmarking, um eine angemessene IT-Sicherheit in der eigenen Organisation zu realisieren.

Herzlichst, Ihr Albert Absmeier
Chefredakteur