Gartner räumt auf mit den Märchen der Sicherheitsexperten

Nach Ansicht der Analysten des Marktforschungsunternehmens Gartner sind CIOs und Sicherheitsverantwortliche sehr ängstlich. Oftmals kämpfen sie gegen Windmühlenflügel und sehen Gefahren, wo keine sind. Gartner Research Director Andrew Walls will, dass die Sicherheitsprofis reale Bedrohungen von den Mythen der IT unterscheiden.

Zu den am weitesten verbreiteten Mythen gehören diese: die Hacker gewinnen immer, die Security weicht mehr und mehr zurück; Dateneinbrüche nehmen an Häufigkeit zu; Anwendungs- und Betriebssystemsicherheit ist Sache der Hersteller und sie arbeiten hart daran, uns zu schützen; regulatorische Compliance deckt 100 Prozent der Sicherheitsbedürfnisse für die meisten Organisationen ab; Hacker helfen der Industrie, indem sie Probleme finden und veröffentlichen; die Security ist dazu da, das Geschäft an jeder Regung zu hindern; die Qualität der Security lässt sich in dem Geld bemessen, das in Security-Infrastruktur und Sicherheitspersonal gesteckt wurde.

Dazu kommt noch, dass mit Security assoziiert wird, dass sie immer zu allem “Nein!” sagt, etwa zu aggressiveren Geschäftsentscheidungen und notwendigen Veränderungen. Es wird Zeit, der Security und ihrer Rolle und Aufgabe das Vertrauen des Business zurückzuerobern. Beispielsweise soll das Internet demnach kein sicherer Platz sein, um Geschäfte zu betreiben. Oder: Die Security sagt angeblich, dass drahtlose Netzwerke per se unsicher sind. Die Aufgabe der Security sollte in diesen Fällen sein, eine sichere und verständliche Umgebung zu schaffen sowie ein Framework mit einem akzeptablen Risikoprofil. Schließlich ist es heute eine Tatsache, dass Organisationen sich weltweit auf das Web und auf drahtlose Netze als primäre Channels für die Geschäfte verlassen.

Allerdings wird das Business niemals die ganze Bedeutung der Security erfassen. Und das ist auch nicht die Aufgabe des Business! Andererseits wird die Security-Seite niemals die Prozesse des Business ganz verstehen. Und das ist auch nicht die Aufgabe der Security! Dennoch müssen die Interaktionen der Security mit den Business-Entscheidern auf die Sprache des Business eingehen. Security ist dazu da, das Business zu unterstützen und nicht zu behindern.

Die genannten Schnittpunkte müssen: sich auf die Business-Aufgaben konzentrieren und nicht auf die Sicherheitstechnologie und -Prozesse; realistische Security-Performance-Erwartungen mithilfe klar definierter Metriken entwickeln; das Vertrauen der Entscheider in Security Management Frameworks und Security-Praxis aufbauen; für das Redesign der Geschäftsprozesse in sicherere Modelle werben. Das Bedürfnis nach Security wird schließlich von der Natur der Geschäftsprozesse selbst angetrieben.

Aber schlussendlich ist Security nichts anderes als ein teures, wenn auch notwendiges Übel. Und: Besser als reaktive Security ist immer eine proaktive Security. Security sollte als Schutzanzug für das Business betrachtet werden. Als Werkzeug, das dazu benutzt werden kann, Risiken zu begegnen. So kann das Business aus Marktmöglichkeiten Vorteile ziehen, die es vorher nie in Betracht ziehen konnte.”

Andrew Walls ist Research Director bei Gartner und in Melbourne, Australien, ansässig.