Anzeige

Anzeige

VERANSTALTUNGEN

IT-Tage 2018
10.12.18 - 13.12.18
In Frankfurt

Software Quality Days 2019
15.01.19 - 18.01.19
In Wien

CloudFest 2019
23.03.19 - 29.03.19
In Europa-Park, Rust

SMX München
02.04.19 - 03.04.19
In ICM – Internationales Congress Center München

Anzeige

Anzeige

Anzeige

Dr. Amir AlsbihUnternehmen müssen gerade in Zeiten von politischen Krisen einen kühlen Kopf bewahren. Die IT-Sicherheit steigt nicht durch schnelles Handeln, sondern indem Unternehmen strukturiert und methodisch handeln. Ein Kommentar von Dr. Amir Alsbih, COO bei KeyIdentity.

Der Mensch sieht die Welt gerne in einfachen Gegensätzen: Schwarz und Weiß, sicher und unsicher. Die Gefahr für Unternehmen liegt in der Eile, zu der diese Reduzierung sie drängt. Trump, EU-Regulierungen, Brexit – überall sehen sie Risiken, auf die angeblich sofort mit Gegenmaßnahmen reagiert werden muss. Das kann jedoch das Gegenteil einer gelungenen IT-Sicherheits-Strategie sein. Es gilt Ereignisse zu bewerten und zu beurteilen: Wirken sie sich negativ, positiv oder gar überhaupt nicht auf die Unternehmensrisiken aus? Auf Basis dieser Einschätzung gilt es dann zu reagieren.

Wie man den richtigen Sicherheitspartner auswählt und wen man an sensible Daten lässt, hat in Wahrheit wenig mit der aktuellen Politik zu tun. Anbieter sind nicht per se sicher oder unsicher, nur weil diese aus einer speziellen Region kommen, sondern liefern unter verschiedenen Voraussetzungen spezifische Dienste. Der Trick besteht nur darin, den richtigen Anbieter für den Job auszuwählen. Drei Tipps, wie das gelingen kann:

1. Umgebungsfaktoren erkennen

Ist mein Unternehmen ein Forschungslabor mit wertvollen Daten oder ein hippes Startup aus Leipzig? Das Umfeld eines Unternehmens und die damit verbundene Menge an sensiblen Daten, sagt bereits viel über die benötigte Sicherheit aus. Möchte ich etwa nur öffentliche Daten visualisieren, reicht dafür ein SaaS-Dienst von der Stange völlig aus. Geht es jedoch um die Visualisierung sensibler Forschungsdaten, befinden wir uns in einem völlig anderen Sicherheits-Umfeld – denn wer möchte seine Kronjuwelen gerne aus dem eigens kontrollierten Bereich an Dritte geben?.

Ein weiterer Faktor sind relevante Bedrohungen: Befürchte ich Datendiebstahl oder eine Malware-Attacke? Je nach priorisierter Bedrohung muss ich andere Anbieter auswählen – nur selten gibt es wahre Alleskönner. Zuletzt ist auch der Risiko-Appetit des eigenen Unternehmens ein wichtiger Indikator. Er kann etwa entscheiden, ob man strategisch für manche Themen Cloud-Lösungen in Betracht ziehen kann oder ob eine On-Premise-Lösung und die damit einhergehende vollständige Kontrolle durch das Unternehmens erforderlich ist. Insofern gilt es, eine Bedrohungsanalyse durchzuführen und auf Basis dieser strategische Entscheidungen und Minimalanforderungen zu definieren, die für sämtliche Bereiche eingehalten werden müssen.

2. Zeit nehmen

Anforderungen bestimmten die Sicherheit. Dafür muss sich ein Unternehmen bewusst werden, was die technischen Anforderungen des Cases sind und welche Business-Anforderungen hinzukommen. Erst dann sollte eine Lösung ausgewählt werden. Viel schlimmer ist jedoch, dass meistens nichtfunktionale Anforderungen wie Performance und Sicherheit nicht näher spezifiziert werden.

Was ist überhaupt performant? Sind es 100 ms, 250 ms, oder 1 Sekunde Latenz? Oder zählen die Transaktionen pro Sekunde? Das hängt einzig vom Anwendungsfall ab. Ähnlich verhält es sich mit der Sicherheit: Das Patchen von kritischen Sicherheitslücken in einer isolierten Infrastruktur muss beispielsweise nicht so schnell von Statten gehen wie das Patchen einer Infrastruktur, die direkt aus dem Internet erreichbar ist. Ohne fachliche und technische Spezifikationen im Vorfeld festzulegen, können Unternehmen mit einer suboptimalen Lösung enden, die teuer integriert werden muss – und bringen am Ende nur die Hälfte der PS auf die Straße.

3. Selbst prüfen

Am wichtigsten ist heute jedoch das Verständnis des Lieferantenmanagements in der IT Security. Große Marken und Referenzen bedeuten für sich genommen ebenso wenig wie Zertifikate. Vielleicht bezieht sich die Referenz auf einen Fall mit weniger sensiblen Daten, während mein Unternehmen nach einer Lösung für Personaldaten sucht. Nur weil ein Markenname daran prangt, muss die Lösung für meine Anforderungen noch lange nicht passend sein.

Ebenso wenig sollte man sich nicht allein auf Zertifikate verlassen. Sie sagen nichts darüber aus, welche Risiken akzeptiert wurden oder wie die entsprechende Untersuchung durchgeführt wurde. Was zählt sind Abnahmetests. CISOs wissen: von 100 Abnahmen im Jahr können sie vielleicht zehn beim ersten Mal abnicken. Selbst hinterfragen und die Lieferkette zu kennen ist dafür essenziell. Insofern ist es wesentlich, seine Sicherheitsanforderungen zu kennen und diese im Rahmen der Abnahme analog zu den Funktionstests abzunehmen. Sofern das Unternehmen keine eigene Expertise oder Kapazitäten für Sicherheitsabnahmen hat, mach die Einschaltung eines Dienstleisters Sinn. Ohne eine Abnahme muss jedoch davon ausgegangen werden, dass eine Diskrepanz zwischen dem erwarteten Sicherheitslevel und dem gelieferten Sicherheitsniveau existiert.

Am Ende ist es also die uralte Weisheit, dass Nachdenken Probleme vermeiden kann. Dies sollten sich Unternehmen zu Herzen nehmen – gerade in Zeiten gefühlter Unsicherheit. Dabei ist es auch wichtig, sich auf das zu verlassen, was man kennt, und das kennenzulernen, worauf man sich verlassen will. 

www.keyidentity.de
 

GRID LIST
Stethoskop und Computer

Warum auch in der IT vorbeugen besser ist als heilen

Die bekannte Redewendung «vorbeugen ist besser als heilen» kann auch in der IT angewendet…
Tb W190 H80 Crop Int Aeb5a1ad0de7db3f252650c4e72a36c1

Als IT-Forensiker zwischen Schadprogrammen und Schraubenziehern

Die fiktive HAK Messtechnik AG wird Opfer einer zielgerichteten Cyber-Attacke und muss…
Tb W190 H80 Crop Int 78ab87a0e30ac3933ee82b3bb260b004

Die IT-Hygiene herstellen, um die IT-Sicherheit zu stärken

Es vergeht kein Tag ohne Datenschutzverletzungen. Die weltweite Datenbank Breach Level…
Tb W190 H80 Crop Int 736a65166cde31ad5dffda5c8dd250fc

Cybersicherheit bei M & A-Transaktionen – Die unterschätzte Gefahr

Die aktuellen wirtschaftlichen und politischen Turbulenzen in einigen Staaten Europas und…
Tb W190 H80 Crop Int 59c0f6503daa36156da927e434e5a40f

Die 3 gefährlichsten Angriffsvektoren

Dieses Jahr hat Verizon bereits zum elften Mal seinen Data Breach Investigations Report…
Emergency

Fünf Must-haves für ein effektives Krisenmanagement

Everbridge, Spezialist für Critical Event Management, erläutert, wie Unternehmen bei…
Smarte News aus der IT-Welt