Foto: Forrester Research, Inc.
Immer mehr Angestellte arbeiten mit modernen IT-Technologien, um damit ihre Produktivität zu steigern. Sie nutzen Microblogging-Dienste wie Twitter und soziale Netzwerke wie Facebook zur Kommunikation mit Kunden oder sie arbeiten über Cloud-Dienste mit Geschäftspartnern zusammen. Ebenso laden sich Mitarbeiter diverse kleine Helferlein-Programme auf ihre Arbeitsstationen herunter.
Facebook unerlaubt nutzen
Das alles passiert, ohne dass die IT-Abteilung davon weiß. 37 Prozent der Information Worker in den USA nutzen ohne explizite Erlaubnis eine dieser Technologien, in Europa sind es 30 Prozent. Diese Zahlen legen die US-Marktforscher von Forrester in dem Marktbericht "Securing An Empowered Organization" vor.
Im Ergebnis verändert die Nutzung sozialer Netzwerke oder von Cloud Computing den Umgang mit IT-Risiken in Unternehmen und damit auch das IT-Risiko-Management. CISOs (Chief Information Security Officer) sind zum einen gefordert, die unterschiedlichsten IT-Technologien und die damit verbundenen Risiken in den Griff zu bekommen, um die Zukunft ihrer Firma zu sichern. Zum anderen müssen sie in der Lage sein, die sichere Nutzung dieser Technologien in geschäftliche Vorteile umzumünzen.
Das erfordert die Entwicklung und Umsetzung neuer Methoden beim IT-Sicherheits-Management. Statt den Einsatz neuer Technologien, etwa sozialer Netzwerke, einfach zu verbieten, sollten IT-Security-Chefs Wege finden, die mit der Nutzung verbundenen Sicherheits-Risiken zu minimieren. Dazu ist es nötig, ihre Strategien zur IT-Sicherheit in Einklang mit den IT-Initiativen der Fachbereiche zu bringen. Nur so können IT-Abteilungen Lösungen für das Business entwickeln, damit dieses mögliche IT-Risiken besser abschätzen und managen kann.
Drei Ebenen der IT-Sicherheitsarchitektur
Foto: Symantec
Eine wichtige Aufgabe von CISOs ist auch, die verschiedenen IT-Initiativen sinnvoll zu bündeln und zu überblicken. So können sie ein effizientes Risiko-Management auf Grundlage einer integrierten IT-Sicherheitsarchitektur etablieren. Die Architektur besteht aus drei Ebenen:
1. Daten sichern durch Verschlüsselung: Das stellt sicher, dass nur die Einheiten auf kritische Geschäftsdaten zugreifen können, die den Schlüssel zur Dekodierung haben. Je nach Kritikalität der Daten sollten unterschiedliche Verschlüsselungsmethoden angewendet werden.
2. Applikationen gegen Angriffe schützen: Die meisten Attacken auf Firmendaten erfolgen über die Oberflächenschicht webbasierter Applikationen, etwa durch Cross Site Scripting (XSS). Mit einer Architektur, die sich auf die Applikationsebene fokussiert, lässt sich eine substantiell höhere IT-Sicherheit erzielen. Noch geben Firmen dafür zu wenig Geld aus.
3. Angriffstolerante Systeme aufbauen: Unternehmen sind vielfältigen Angriffen ausgesetzt, und manche sind erfolgreich. Bei angriffstoleranten IT-Systemen versagen im Ernstfall nicht alle Kontrollen auf einmal. Diese bilden zugleich eine sichere Plattform, um sich künftig besser gegen Bedrohungen zu schützen.
IT-Risiko-Management und Risiko-Kontrolle entkoppeln
Damit IT-Sicherheit besser an die Bedürfnisse des Business angepasst werden kann, sollte das Risiko-Management von der Risiko-Kontrolle, wie etwa die Verwaltung und Prüfung von Zugriffsrechten, entkoppelt werden. Da sich die in Unternehmen eingesetzten IT-Technologien immer mehr diversifizieren, benötigen IT-Security-Chefs zudem einen Rahmen zur Risiko-Bewertung. Dieser ist auf die zwei Aspekte "gesetzliche Regelungen" und "Compliance-Vorgaben" fokussiert.
Nicht Polizei spielen
Auf diese Weise können Fachabteilungen nicht geeignete Technologien rasch identifizieren und entfernen. IT-Sicherheitsverantwortliche sollten sich gegenüber den Fachbereichen auch nicht als Polizisten aufspielen, sondern diesen zutrauen, in punkto IT-Sicherheit selbst die richtigen Dinge zu tun. Jedoch müssen sie die vom Business ergriffenen Maßnahmen jederzeit überprüfen und bei Bedarf eingreifen.
Für die Studie befragten die Marktforscher im dritten Quartal 2010 mehr als 2.300 IT-Verantwortliche und Technologie-Entscheider aus großen und mittelständischen Unternehmen in Kanada, Frankreich, den USA und Deutschland.