Sehr vieles. So ist es eine der ganz wenigen Themenkreise, in welchen man mit fast allen Bereichen einer Unternehmung in Berührung kommt - sei es in der Unternehmensberatung oder als Sicherheitsverantwortlicher. Man muss daher auch in der Lage sein, sowohl in Businessthemen als auch in technologischen Gebieten Mehrwert bieten zu können.
Die Angriffsmethoden haben derart an Fahrt aufgenommen, dass eine permanente Auseinandersetzung mit ihnen unumgänglich ist - und das reizt mich persönlich.
Einer der reizvollsten Aspekte besteht für mich besonders in der Auseinandersetzung der Umsetzung des Themas auf der menschlichen Ebene: Wie überzeugt man beispielsweise einen CEO oder andere Geschäftsleitungsmitglieder von der Notwendigkeit einer Investition in sicherheitsrelevante Technologien, wenn sie argumentieren, dass bisher noch nie etwas geschehen sei und man daher nicht investieren brauche?
Nun, ich weise sie zum Beispiel darauf hin, dass in schlecht geschützten Unternehmen lediglich 10 bis 20 Prozent der Angriffe überhaupt bemerkt werden. Ein guter Angriff bedeutet ja in der Regel eben gerade nicht ein von außen wahrnehmbares Lahmlegen der Systeme. Es hat vielmehr ein mitunter jahrelanges, unbemerktes und gezieltes Ausspionieren von Geschäftsgeheimnissen zum Ziel.
Dann frage ich mein Gegenüber beispielsweise, ob es ihnen Freude bereite, die Früchte ihres Talentes, Ihres überdurchschnittlich hohen Einsatzes und ihrer Fähigkeiten möglicherweise unwissentlich mit ihren Mitbewerbern zu teilen und diese dann unverdienterweise die Früchte des Erfolges ernten zu lassen? Dies löst nicht selten gewisse Aha Effekte aus ...
Die Antwort ist eindeutig : JA!
Die Professionalisierung der Angriffe und stetig neue Angriffsflächen, verlangen nach einem permanenten und gesamtheitlichen Schutz. Es kommt nicht darauf an, nur über die Bedrohungslage zu diskutieren, sondern sich effizient zu schützen, also Lösungen zu finden. Das Ganze mit einer überschaubaren Investition und so umgesetzt, dass die Security die eigentliche Geschäftstätigkeit nicht behindert, sondern unter Umständen sogar fördert.
Wichtig ist dabei, den schwierigen Kampf um geeignete Mitarbeiter im Auge zu behalten und sich das teilweise, operative Outsourcing von Security als sinnvolle Ergänzung zum Freischaufeln der eigenen Security-Mitarbeiter ernsthaft zu überlegen.
Studien gehen davon aus, dass den westlichen Unternehmen derzeit über eine Million IT-Security-Spezialisten fehlen! Und das ist nur das Personal, um sich gegen aktuell bekannte Gefahren zu schützen. Dieser Problematik kann man nur mit geeigneten HR-Sourcing-Strategien begegnen.
Darüberhinaus beobachtet man auf der rechtlichen Seite starke Tendenzen, fehlbare Angestellte oder Manager, die es wissentlich unterlassen haben, geeignete Schutzmaßnahmen zu implementieren, mit persönlichen Haftpflichtansprüchen zu konfrontieren. Diese Schadenersatzforderungen können sehr schnell in Millionenhöhe gehen. Dies kann bei gerichtlich nachgewiesener Grobfahrlässigkeit sehr schnell die Existenzen von Menschen vernichten.
Es gibt durchaus Unternehmen, die den Ernst der Lage erkannt haben und ihre Informationen und die sie verarbeitenden Systeme entsprechend schützen. Sie folgen vor allem einem professionellen und ausgewogenen Risikomanagementansatz. Dieser schafft die Basis für Investitionen in die Informationssicherheit und stellt diese in einer Kosten- /Nutzenrechnung dar.
Aber es gibt nach wie vor eine Vielzahl von Unternehmen, bei denen die Priorisierung der Schutzmaßnahmen oftmals in einem "Patching Mode" und aus rein technischer Sicht geschieht. Dies ist mitunter sehr teuer und schafft nur einen geringen Nutzen, da andere, für die Unternehmung eventuell gefährlichere Lücken, unbearbeitet bleiben.
Man kann sich manchmal des Eindruckes nicht erwehren, dass in solchen Organisationen einfach zur Budgetzeit eine Reihe von rein technisch bewerteten Securityprojekten aufgelegt wird und man dann schaut, welches Projekt letztendlich bewilligt wird. Dies sind Ausprägungen eines oftmals fehlenden, gesamtrisikobasierten Ansatzes, welcher zum Beispiel auch klar analysiert, wie Wertschöpfungsketten und Informationsflüsse in einer Unternehmung aussehen und auf welchen Systemen denn genau die „Kronjuwelen“ einer Firma verarbeitet werden.
Ein Unternehmen, das einen gesamtheitlichen Risikomanagementansatz verfolgt, wird in der Folge die wirklich sensitiven Daten markant besser schützen. Die Aufwendungen zum Schutz von Informationen hingegen, die ohnehin öffentlich zugänglich, oder von kleiner Nutzungsdauer sind, werden auf ein Minimum des erforderlichen IT-Grundschutzes reduziert.
Da gibt es verschiedene Gründe. Zum einen nehmen Menschen Dinge, die sie nicht direkt sehen oder spüren können, oftmals als unkritisch wahr. Auch ein Eisbär erscheint zunächst von außen süß und kuschlig – bis zu dem Moment, in dem er auf Beutejagd geht.
Eine weitere Ursache ist die Tatsache, dass die Securityteams oftmals technisch zwar durchaus versiert sind, aber nur beschränkt in der Sprache der Businesseinheiten kommunizieren und eine klare Kosten-/Nutzenbetrachtung unter Miteinbezug der tatsächlichen, geschäftlichen Tätigkeit erarbeiten können. Hier müssen externe Spezialisten hinzugezogen werden, die sich mit allen Ebenen auskennen.
Auf der technischen und kommerziellen Seite essenziell ist auch die seriöse Entwicklung einer umfassenden Security-Architektur. Diese muss risikobasiert und möglichst herstellerneutral sein. Sie soll langfristig eine möglichst harmonische und damit kostengünstig umsetzbare Basis zum Einsatz von Security-Lösungen schaffen. Eine gute Security-Architektur ermöglicht es außerdem den Unternehmen, sich höchst agil gegen die stetig wechselnden Risikoszenarien zu schützen und sich dabei nicht komplett in die Abhängigkeit von einzelnen Herstellern zu begeben. Schafft es ein Hersteller zum Beispiel nicht, gewisse Updates oder die Integration in umgebende Systeme rechtzeitig anzubieten, kann man bei einer gut umgesetzten Securityarchitektur relativ einfach wechseln.
Andererseits stelle ich immer auch immer wieder fest, dass die Securityteams auch personell unterdotiert sind.
Ich kenne zum Beispiel in Europa Unternehmen mit einer fünfstelligen Anzahl von weltweiten Mitarbeitern, die in ihren Märkten aufgrund ihres Technologievorsprunges noch (!) klar führend sind, die aber lediglich einen (!) Mitarbeiter im IT Securityteam angestellt haben! Interessanterweise setzen die gleichen Firmen zur Bewachung des Zutritts auf das Firmenareal über hundert Mitarbeiter ein. Auch hier gilt wieder, dass viele Menschen Dinge, die sie nicht sehen können, z. Bsp. einen Hackangriff, als weniger risikobehaftet anschauen, als zum Beispiel einen Einbrecher. Der Letztere entwedet aber in der Regel bei einem Einbruch nicht die millionenschweren Geschäftsgeheimnisse einer Firma, sondern lediglich Ware im Wert von ein paar Tausend Euro.
In Anbetracht einer solchen Situation davon auszugehen, dass die Konkurrenz nicht schon lange mithört, und die neu geplanten Produkte einer Unternehmung in Zukunft nicht einfach sechs Monate früher aber unter der Flagge der Konkurrenz am Markt platziert, fällt wohl unter das Kapitel „Die Hoffnung stirbt zuletzt ...“.
Den zweite Teil des Interviews publizieren wir nächste Woche hier. Dann zeigen wir auf, wie Verantwortliche für Informationssicherheit mit der Situation umgehen können.
Abonnieren sie unser Blog per Email um Teil zwei des Interviews nicht zu verpassen: