IT-Sicherheitssoftware
Unternehmen wollen vor Geheimdiensten nicht kapitulieren
Simon Hülsbömer betreut als Senior Research Manager Studienprojekte in der Marktforschung von CIO, CSO und COMPUTERWOCHE. Zuvor entwickelte er Executive-Weiterbildungen und war rund zehn Jahre lang als (leitender) Redakteur tätig. Hier zeichnete er u.a. für die Themen IT-Sicherheit und Datenschutz verantwortlich.
Gewohnheitstier. Als solches bezeichnet ein bekanntes Sprichwort den Menschen. Und gewöhnt haben wir uns schon längst, ob gewollt oder nicht, an das Wissen, dass wir alle - Privatleute wie Unternehmen - von Geheimdiensten weltweit überwacht und ausspioniert werden - mit teils kriminellen Methoden. 16 Monate nach Beginn der Snowden-Veröffentlichungen hat sich die große öffentliche Aufregung gelegt, nur die obligatorische wöchentliche neue Information aus dem Kosmos der Geheimdienste lässt einige Journalisten und Mediennutzer ab und an kurz die Augenbrauen hochziehen.
Technologie braucht Sicherheit
Gewöhnt haben sich deshalb auch viele Unternehmen an die Erkenntnis, dass sie die völlige Sicherheit ihrer Systeme und Daten niemals werden erreichen können. Ob es aber gleich die "Kapitulation der IT-Sicherheit" sein muss, die Chaos-Computer-Club-Sprecher Frank Rieger auf dem Bonner Dialog für Cybersicherheit ausrief? Sicherlich nicht: Viele Anwender wollen zumindest versuchen, sich bestmöglich zu schützen. Schon allein deshalb, damit die Geheimdienste wenigstens etwas Gegenwind spüren. Aber das ist nicht der einzige Grund: "Je technologischer viele Unternehmen werden, desto mehr digitale Daten und mögliche Angriffspunkte müssen sie schützen", kommentiert Ruggero Contu, Analyst beim Marktforschungsunternehmen Gartner.
- Formalisieren Sie Risiko-Management und IT-Security
Gießen Sie Ihr Risiko- und IT-Sicherheits-Management in eine wiederhol- und messbare Form. Diese umfasst in der Regel vier Phasen: Governance, Planung, Aufbau und Betrieb. - Messen Sie den Reifegrad
Nutzen Sie eine Reifegradskala, um Planungslücken und ungenutzte Chancen des IT-Security-Programms zu finden. Solch eine Skala ist überdies ein gutes Mittel, um solchen Entscheidungsträgern das Thema zu veranschaulichen, die mit Technologie nicht immer etwas anfangen können. - Fahren sie risikobasierte Ansätze
Risiko-Management heißt auch, dass es den perfekten Schutz nicht gibt. Unternehmen sollten bewusste Entscheidungen über ihr Handeln und Nichthandeln fällen, was das Eingehen von Risiken betrifft. Das betrifft nicht nur die IT-Abteilungen, sondern vor allem auch die Nicht-IT-Bereiche. Über allem steht, das Risiko-Manager vorbeugende Ansätze befolgen, die Risiken von Anfang an minimieren. Schließlich sollen sie die Risiken steuern, und sich nicht von diesen steuern lassen. - Nutzen Sie Kennzahlen
Wer im Risiko-Management tätig ist, muss Kennzahlen definieren, an denen er seine Geschäftsprozesse ausrichten kann. Das sind zum einen KPIs (Key Performance Indicators), zum anderen KRIs (Key Risk Indicators). Letztere sollten sich aber nicht nur auf IT-zentrierte Kennzahlen konzentrieren - sonst besteht die Gefahr, zu meinen, dass die Risiken ausschließlich von der IT ausgehen. - Passen Sie Ihre KRIs den KPIs an
Die meisten Unternehmen arbeiten mit einer Fülle von Risiko- und Security-Kennzahlen. Auch wenn diese für interne Prozesse extrem wertvoll sind, haben sie doch meist nur einen geringen Wert für die Unternehmensentscheider. Gute KRIs sind deshalb einfach, messbar und haben einen direkten Einfluss auf viele der KPIs. - Entkoppeln Sie operative Messgrößen von der Vorstandskommunikation
Verwenden Sie keine operativen Messgrößen auf Vorstandsebene. Entscheidern fehlt das Hintergrundwissen und das Training, mit diesen in einem Business-Kontext umzugehen. - Kommunizieren Sie klar, was geht und was nicht
In einer risikobasierten Welt will eine Business-orientierte Zuhörerschaft genau wissen, welche Risiken drohen, welche Haltung ein Unternehmen dazu hat und was dagegen unternommen wird. Beantworten Sie diese Fragen für jeden verständlich, haben Sie den "Kampf" schon halb gewonnen.
So ist es kein Wunder, dass Anwender weltweit im vergangenen Jahr Gartner-Erhebungen zufolge satte 20 Milliarden Dollar für Sicherheitssoftware ausgegeben haben, fast eine Milliarde mehr als noch 2012. Und der Trend zeigt auch für das laufende Jahr weiter steil nach oben. Contu beobachtet insbesondere eine Entwicklung: "Auffällig ist die Demokratisierung von Sicherheitsrisiken, weil Schadsoftware und zugehörige Infrastruktur durch die Untergrundwirtschaft immer leichter zugänglich werden. Jeder kann heute gezielte Angriffe initiieren. Durch diese Allgegenwärtigkeit von Bedrohungen realisieren Unternehmen nun, dass ihre traditionellen Sicherheitsbemühungen Lücken aufweisen und überdacht werden müssen."