IT-Sicherheit in Produktion und Technik
12.09.17 - 13.09.17
In Berlin

Be CIO: IT Management im digitalen Wandel
13.09.17 - 13.09.17
In Köln

IBC 2017
14.09.17 - 18.09.17
In Amsterdam

it-sa 2017
10.10.17 - 12.10.17
In Nürnberg

PM Forum 2017
24.10.17 - 25.10.17
In Nürnberg

Dr. Amir AlsbihUnternehmen müssen gerade in Zeiten von politischen Krisen einen kühlen Kopf bewahren. Die IT-Sicherheit steigt nicht durch schnelles Handeln, sondern indem Unternehmen strukturiert und methodisch handeln. Ein Kommentar von Dr. Amir Alsbih, COO bei KeyIdentity.

Der Mensch sieht die Welt gerne in einfachen Gegensätzen: Schwarz und Weiß, sicher und unsicher. Die Gefahr für Unternehmen liegt in der Eile, zu der diese Reduzierung sie drängt. Trump, EU-Regulierungen, Brexit – überall sehen sie Risiken, auf die angeblich sofort mit Gegenmaßnahmen reagiert werden muss. Das kann jedoch das Gegenteil einer gelungenen IT-Sicherheits-Strategie sein. Es gilt Ereignisse zu bewerten und zu beurteilen: Wirken sie sich negativ, positiv oder gar überhaupt nicht auf die Unternehmensrisiken aus? Auf Basis dieser Einschätzung gilt es dann zu reagieren.

Wie man den richtigen Sicherheitspartner auswählt und wen man an sensible Daten lässt, hat in Wahrheit wenig mit der aktuellen Politik zu tun. Anbieter sind nicht per se sicher oder unsicher, nur weil diese aus einer speziellen Region kommen, sondern liefern unter verschiedenen Voraussetzungen spezifische Dienste. Der Trick besteht nur darin, den richtigen Anbieter für den Job auszuwählen. Drei Tipps, wie das gelingen kann:

1. Umgebungsfaktoren erkennen

Ist mein Unternehmen ein Forschungslabor mit wertvollen Daten oder ein hippes Startup aus Leipzig? Das Umfeld eines Unternehmens und die damit verbundene Menge an sensiblen Daten, sagt bereits viel über die benötigte Sicherheit aus. Möchte ich etwa nur öffentliche Daten visualisieren, reicht dafür ein SaaS-Dienst von der Stange völlig aus. Geht es jedoch um die Visualisierung sensibler Forschungsdaten, befinden wir uns in einem völlig anderen Sicherheits-Umfeld – denn wer möchte seine Kronjuwelen gerne aus dem eigens kontrollierten Bereich an Dritte geben?.

Ein weiterer Faktor sind relevante Bedrohungen: Befürchte ich Datendiebstahl oder eine Malware-Attacke? Je nach priorisierter Bedrohung muss ich andere Anbieter auswählen – nur selten gibt es wahre Alleskönner. Zuletzt ist auch der Risiko-Appetit des eigenen Unternehmens ein wichtiger Indikator. Er kann etwa entscheiden, ob man strategisch für manche Themen Cloud-Lösungen in Betracht ziehen kann oder ob eine On-Premise-Lösung und die damit einhergehende vollständige Kontrolle durch das Unternehmens erforderlich ist. Insofern gilt es, eine Bedrohungsanalyse durchzuführen und auf Basis dieser strategische Entscheidungen und Minimalanforderungen zu definieren, die für sämtliche Bereiche eingehalten werden müssen.

2. Zeit nehmen

Anforderungen bestimmten die Sicherheit. Dafür muss sich ein Unternehmen bewusst werden, was die technischen Anforderungen des Cases sind und welche Business-Anforderungen hinzukommen. Erst dann sollte eine Lösung ausgewählt werden. Viel schlimmer ist jedoch, dass meistens nichtfunktionale Anforderungen wie Performance und Sicherheit nicht näher spezifiziert werden.

Was ist überhaupt performant? Sind es 100 ms, 250 ms, oder 1 Sekunde Latenz? Oder zählen die Transaktionen pro Sekunde? Das hängt einzig vom Anwendungsfall ab. Ähnlich verhält es sich mit der Sicherheit: Das Patchen von kritischen Sicherheitslücken in einer isolierten Infrastruktur muss beispielsweise nicht so schnell von Statten gehen wie das Patchen einer Infrastruktur, die direkt aus dem Internet erreichbar ist. Ohne fachliche und technische Spezifikationen im Vorfeld festzulegen, können Unternehmen mit einer suboptimalen Lösung enden, die teuer integriert werden muss – und bringen am Ende nur die Hälfte der PS auf die Straße.

3. Selbst prüfen

Am wichtigsten ist heute jedoch das Verständnis des Lieferantenmanagements in der IT Security. Große Marken und Referenzen bedeuten für sich genommen ebenso wenig wie Zertifikate. Vielleicht bezieht sich die Referenz auf einen Fall mit weniger sensiblen Daten, während mein Unternehmen nach einer Lösung für Personaldaten sucht. Nur weil ein Markenname daran prangt, muss die Lösung für meine Anforderungen noch lange nicht passend sein.

Ebenso wenig sollte man sich nicht allein auf Zertifikate verlassen. Sie sagen nichts darüber aus, welche Risiken akzeptiert wurden oder wie die entsprechende Untersuchung durchgeführt wurde. Was zählt sind Abnahmetests. CISOs wissen: von 100 Abnahmen im Jahr können sie vielleicht zehn beim ersten Mal abnicken. Selbst hinterfragen und die Lieferkette zu kennen ist dafür essenziell. Insofern ist es wesentlich, seine Sicherheitsanforderungen zu kennen und diese im Rahmen der Abnahme analog zu den Funktionstests abzunehmen. Sofern das Unternehmen keine eigene Expertise oder Kapazitäten für Sicherheitsabnahmen hat, mach die Einschaltung eines Dienstleisters Sinn. Ohne eine Abnahme muss jedoch davon ausgegangen werden, dass eine Diskrepanz zwischen dem erwarteten Sicherheitslevel und dem gelieferten Sicherheitsniveau existiert.

Am Ende ist es also die uralte Weisheit, dass Nachdenken Probleme vermeiden kann. Dies sollten sich Unternehmen zu Herzen nehmen – gerade in Zeiten gefühlter Unsicherheit. Dabei ist es auch wichtig, sich auf das zu verlassen, was man kennt, und das kennenzulernen, worauf man sich verlassen will. 

www.keyidentity.de
 

Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet