Amir Alsbih

ist COO der KeyIdentity, Sicherheitsexperte und lehrte unter anderem digitale Forensik.

SicherheitSicherheitsmanagement

IT-Sicherheit: Kein Grund zur Panik

Gerade in Zeiten politischer Krisen sollten Unternehmen einen kühlen Kopf bewahren. Ihre IT-Sicherheit werden sie nicht durch überstürztes Handeln verbessern können, sondern indem sie strukturiert und methodisch handeln, wie Amir Alsbih von KeyIdentity im silicon.de-Blog erklärt.

Menschen neigen dazu, die Welt in einfachen Gegensätzen zu sehen. Diese Reduzierung kann jedoch schnell gefährlich werden: Je stärker der Gegensatz, desto größer und drängender das scheinbare Risiko. Wer jetzt schnell handeln will, tappt oft in die Falle der übereilten Sicherheitsmaßnahmen. Sie sind das Gegenteil einer gelungenen IT-Sicherheits-Strategie. Besser fahren Unternehmen, wenn sie die Wirkung von politischen, gesellschaftlichen und technischen Entwicklungen ruhig bewerten und beurteilen.

IT-Sicherheit (Bild: Shutterstock/Andrea Danti)

Ein wichtiger Schritt zur effektiven Steigerung der eigenen Sicherheit ist auch die Wahl eines zuverlässigen und fähigen Partners für die IT-Sicherheit. Die Auswahl dieses Partners ist von vielen Faktoren abhängig. Doch mit der aktuellen Politik hat dies wenig zu tun. Anbieter sind nicht per se sicher oder unsicher, nur weil sie aus einer speziellen Region kommen – sie liefern unter verschiedenen Voraussetzungen spezifische Dienste. Der Trick besteht darin, den richtigen Anbieter für den Job auszuwählen. Hier drei Tipps, wie das gelingen kann:

Umgebungsfaktoren erkennen

Das Umfeld eines Unternehmens und die Menge an sensiblen Daten sagt bereits viel über die benötigte Sicherheit aus. Es macht eben einen Unterschied, ob es sich bei dem Unternehmen um ein Forschungslabor mit wertvollen Daten oder ein hippes Startup handelt. Wer nur öffentliche Daten visualisieren lassen will, dem reicht ein SaaS-Dienst von der Stange. Die Visualisierung sensibler Forschungsdaten ist dagegen eine andere Sache. Diese Daten will man schließlich nur ungerne aus dem eigenen, kontrollierten Umfeld herausgeben.

Ein weiterer Faktor sind die relevanten Bedrohungen. Je nach priorisierter Bedrohung müssen andere Anbieter ausgewählt werden, wahre Alleskönner gibt es nur selten. Zuletzt ist auch die Risikobereitschaft des eigenen Unternehmens ein wichtiger Indikator. Sie kann entscheiden, ob für manche Themen Cloud-Lösungen strategisch in Betracht gezogen werden oder ob eine On-Premise-Lösung und die vollständige Kontrolle durch das Unternehmen erforderlich ist. Auf Basis einer Bedrohungsanalyse sollten daher Minimalanforderungen definiert werden, die für sämtliche Bereiche gelten.

Zeit nehmen

Anforderungen bestimmen die Sicherheit. Dafür müssen sich Unternehmen bewusst werden, was die technischen Anforderungen des Use Cases sind und welche Business-Anforderungen hinzukommen. Erst dann sollte eine Lösung ausgewählt werden. Gefährlich wird es auch, wenn nichtfunktionale Anforderungen wie Performance und Sicherheit nicht näher spezifiziert werden.

Tipp der Redaktion

EU-Datenschutzgrundverordnung (DSGVO)

Im Mai 2018 endet die Übergangsfrist für die neue EU-Datenschutzverordnung. Welche Neuerungen sie bringt, was passiert, wenn sich Firmen nicht daran halten und wie sich Unternehmen vorbereiten können, erfahren Sie im Special auf silicon.de.

Ob eine Sekunde Latenz oder die Transaktionen pro Sekunde als performant zählen, hängt einzig vom Anwendungsfall ab. Ähnlich verhält es sich mit der Sicherheit. Das Patchen von kritischen Sicherheitslücken in einer isolierten Infrastruktur muss beispielsweise nicht so schnell von statten gehen wie das Patchen einer Infrastruktur, die direkt aus dem Internet erreichbar ist. Wer fachliche und technische Spezifikationen im Vorfeld nicht festlegt, endet oft mit einer suboptimalen Lösung, die teuer integriert werden muss und letztendlich das Unternehmen ausbremst und auch im Betrieb das Wirtschaftlichkeitsprinzip verletzt.

Selbst prüfen

Besondere Bedeutung kommt heute dem Verständnis des Lieferantenmanagements in der IT-Security zu. Große Marken und Referenzen bedeuten für sich genommen ebenso wenig wie Zertifikate. Die Referenz könnte sich beispielsweise auf einen Fall mit weniger sensiblen Daten beziehen, während das eigene Unternehmen nach einer Lösung für Personaldaten sucht. Nur weil ein Markenname vorne draufsteht, ist die Lösung noch lange nicht für die eigenen Anforderungen geeignet.

Ebenso wenig sollte man sich allein auf Zertifikate verlassen. Sie sagen nichts darüber aus, welche Risiken akzeptiert wurden oder wie die entsprechende Untersuchung durchgeführt wurde. Was zählt sind Abnahmetests!

CISOs wissen, dass von 100 umfänglichen Sicherheitsabnahmen im Jahr vielleicht zehn beim ersten Mal abgenickt werden können. Zu hinterfragen und die Lieferkette zu kennen, ist daher essenziell. Insofern ist es wesentlich, die eigenen Sicherheitsanforderungen zu kennen und diese analog zu den Funktionstests abzunehmen.

PartnerZone

Effektive Meeting-und Kollaboration-Lösungen

Mitarbeiter sind heute mit Konnektivität, Mobilität und Video aufgewachsen oder vertraut. Sie nutzen die dazu erforderlichen Technologien privat und auch für die Arbeit bereits jetzt intensiv. Nun gilt es, diese Technologien und ihre Möglichkeiten in Unternehmen strategisch einzusetzen.

Sofern das Unternehmen keine eigene Expertise oder Kapazitäten für Sicherheitsabnahmen hat, ist die Einschaltung eines Dienstleisters sinnvoll. Ohne Abnahme muss davon ausgegangen werden, dass eine Diskrepanz zwischen dem erwarteten Sicherheitslevel und dem gelieferten Sicherheitsniveau existiert. Wer diese Sicherheitsanforderungen vertraglich nicht ausformuliert und durchsetzungsfähig in die Verträge aufnimmt, verschärft am Ende die Problematik noch weiter. Ausreichend Zeit für die Erstellung von Security-SLAs muss daher eingeplant werden.

Nachdenken vermeidet Probleme. Diese Weisheit ist heute so aktuell wie eh und je – und gerade in Zeiten gefühlter Unsicherheit sollten Unternehmen sich diesen Spruch zu Herzen nehmen. Und noch ein letzter weiser Spruch: Es ist gut, sich auf das zu verlassen, was man kennt und das kennenzulernen, worauf man sich verlassen will.