Anzeige

Dr. Amir AlsbihUnternehmen müssen gerade in Zeiten von politischen Krisen einen kühlen Kopf bewahren. Die IT-Sicherheit steigt nicht durch schnelles Handeln, sondern indem Unternehmen strukturiert und methodisch handeln. Ein Kommentar von Dr. Amir Alsbih, COO bei KeyIdentity.

Der Mensch sieht die Welt gerne in einfachen Gegensätzen: Schwarz und Weiß, sicher und unsicher. Die Gefahr für Unternehmen liegt in der Eile, zu der diese Reduzierung sie drängt. Trump, EU-Regulierungen, Brexit – überall sehen sie Risiken, auf die angeblich sofort mit Gegenmaßnahmen reagiert werden muss. Das kann jedoch das Gegenteil einer gelungenen IT-Sicherheits-Strategie sein. Es gilt Ereignisse zu bewerten und zu beurteilen: Wirken sie sich negativ, positiv oder gar überhaupt nicht auf die Unternehmensrisiken aus? Auf Basis dieser Einschätzung gilt es dann zu reagieren.

Wie man den richtigen Sicherheitspartner auswählt und wen man an sensible Daten lässt, hat in Wahrheit wenig mit der aktuellen Politik zu tun. Anbieter sind nicht per se sicher oder unsicher, nur weil diese aus einer speziellen Region kommen, sondern liefern unter verschiedenen Voraussetzungen spezifische Dienste. Der Trick besteht nur darin, den richtigen Anbieter für den Job auszuwählen. Drei Tipps, wie das gelingen kann:

1. Umgebungsfaktoren erkennen

Ist mein Unternehmen ein Forschungslabor mit wertvollen Daten oder ein hippes Startup aus Leipzig? Das Umfeld eines Unternehmens und die damit verbundene Menge an sensiblen Daten, sagt bereits viel über die benötigte Sicherheit aus. Möchte ich etwa nur öffentliche Daten visualisieren, reicht dafür ein SaaS-Dienst von der Stange völlig aus. Geht es jedoch um die Visualisierung sensibler Forschungsdaten, befinden wir uns in einem völlig anderen Sicherheits-Umfeld – denn wer möchte seine Kronjuwelen gerne aus dem eigens kontrollierten Bereich an Dritte geben?.

Ein weiterer Faktor sind relevante Bedrohungen: Befürchte ich Datendiebstahl oder eine Malware-Attacke? Je nach priorisierter Bedrohung muss ich andere Anbieter auswählen – nur selten gibt es wahre Alleskönner. Zuletzt ist auch der Risiko-Appetit des eigenen Unternehmens ein wichtiger Indikator. Er kann etwa entscheiden, ob man strategisch für manche Themen Cloud-Lösungen in Betracht ziehen kann oder ob eine On-Premise-Lösung und die damit einhergehende vollständige Kontrolle durch das Unternehmens erforderlich ist. Insofern gilt es, eine Bedrohungsanalyse durchzuführen und auf Basis dieser strategische Entscheidungen und Minimalanforderungen zu definieren, die für sämtliche Bereiche eingehalten werden müssen.

2. Zeit nehmen

Anforderungen bestimmten die Sicherheit. Dafür muss sich ein Unternehmen bewusst werden, was die technischen Anforderungen des Cases sind und welche Business-Anforderungen hinzukommen. Erst dann sollte eine Lösung ausgewählt werden. Viel schlimmer ist jedoch, dass meistens nichtfunktionale Anforderungen wie Performance und Sicherheit nicht näher spezifiziert werden.

Was ist überhaupt performant? Sind es 100 ms, 250 ms, oder 1 Sekunde Latenz? Oder zählen die Transaktionen pro Sekunde? Das hängt einzig vom Anwendungsfall ab. Ähnlich verhält es sich mit der Sicherheit: Das Patchen von kritischen Sicherheitslücken in einer isolierten Infrastruktur muss beispielsweise nicht so schnell von Statten gehen wie das Patchen einer Infrastruktur, die direkt aus dem Internet erreichbar ist. Ohne fachliche und technische Spezifikationen im Vorfeld festzulegen, können Unternehmen mit einer suboptimalen Lösung enden, die teuer integriert werden muss – und bringen am Ende nur die Hälfte der PS auf die Straße.

3. Selbst prüfen

Am wichtigsten ist heute jedoch das Verständnis des Lieferantenmanagements in der IT Security. Große Marken und Referenzen bedeuten für sich genommen ebenso wenig wie Zertifikate. Vielleicht bezieht sich die Referenz auf einen Fall mit weniger sensiblen Daten, während mein Unternehmen nach einer Lösung für Personaldaten sucht. Nur weil ein Markenname daran prangt, muss die Lösung für meine Anforderungen noch lange nicht passend sein.

Ebenso wenig sollte man sich nicht allein auf Zertifikate verlassen. Sie sagen nichts darüber aus, welche Risiken akzeptiert wurden oder wie die entsprechende Untersuchung durchgeführt wurde. Was zählt sind Abnahmetests. CISOs wissen: von 100 Abnahmen im Jahr können sie vielleicht zehn beim ersten Mal abnicken. Selbst hinterfragen und die Lieferkette zu kennen ist dafür essenziell. Insofern ist es wesentlich, seine Sicherheitsanforderungen zu kennen und diese im Rahmen der Abnahme analog zu den Funktionstests abzunehmen. Sofern das Unternehmen keine eigene Expertise oder Kapazitäten für Sicherheitsabnahmen hat, mach die Einschaltung eines Dienstleisters Sinn. Ohne eine Abnahme muss jedoch davon ausgegangen werden, dass eine Diskrepanz zwischen dem erwarteten Sicherheitslevel und dem gelieferten Sicherheitsniveau existiert.

Am Ende ist es also die uralte Weisheit, dass Nachdenken Probleme vermeiden kann. Dies sollten sich Unternehmen zu Herzen nehmen – gerade in Zeiten gefühlter Unsicherheit. Dabei ist es auch wichtig, sich auf das zu verlassen, was man kennt, und das kennenzulernen, worauf man sich verlassen will. 

www.keyidentity.de
 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

E-Mail security

Sichere E-Mail-Kommunikation - gerade jetzt

Verschlüsselung ist wichtiger denn je, denn aufgrund der Einschränkungen, die das Coronavirus mit sich bringt, kommunizieren Unternehmen und Privatpersonen mehr denn je via Collaboration-Tools und Video-Konferenzen, aber auch via E-Mail. Nachfolgend daher ein…
Web Security

Neuer JavaScript-Scanner

Einfaches Scannen moderner Webanwendungenverspricht Crashtest Security mit einem neuen JavaScript-Scanner. Zusätzlich veröffentlicht das Unternehmen ein Update, das agilen Sicherheitsbedürfnissen mit vollständigen SaaS-Funktionen.
Hijacking

Best Practices gegen Kontenmissbrauch durch Cyberkriminelle

Die Cloud bietet Cyberkriminellen eine große Angriffsfläche, da enorme Datenmengen an einem Ort gespeichert sind. Cloud Account Hijacking auf Unternehmensebene ist besonders verheerend, wenn dadurch vertrauliche oder geschäftskritische Daten durchsickern oder…
Cyber Resilience

5 Tipps für eine widerstandsfähige Unternehmens-IT

Das Risiko für Cyber-Angriffe steigt. Auch mit den besten Security-Maßnahmen wird es nie gelingen, es ganz auszumerzen. Um auch im Ernstfall betriebsfähig zu bleiben, sollten Unternehmen einen Zustand der nachhaltigen Widerstandsfähigkeit anstreben. Aber wie…
Homeoffice

Unsichere Home-IT wird plötzlich zur Arbeitsumgebung

Das Home-Office, vor kurzem noch eine Option für wenige Mitarbeiter in wenigen Unternehmen, wird vor dem Hintergrund der Corona-Krise vielerorts zum Rückgrat des Geschäftsbetriebes. Die Verlagerung von Büroarbeitsplätzen vom Unternehmen in die eigenen vier…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!