IT-Sicherheit nicht mehr nur Sache des Geschäftsführers
Das Bewusstsein für IT-Sicherheit steigt. Dies ist tatsächlich in den Chefetagen deutscher Unternehmen angekommen. Diese Entwicklung ist jedoch nur positiv. Führungskräfte stehen unter Zeitdruck, da sich die EU-Datenschutzgrundverordnung in großen Schritten nähert. Die Zeit zum Handeln wird für Unternehmen allmählich knapp. Weiter verschärft wird die Situation außerdem durch Ransomware und organisierter Cyberkriminalität. Die volle Härte dieser Entwicklung trifft jedoch nicht das C-Level, sondern die IT-Fachkräfte, die für die praktische Umsetzung verantwortlich sind. Selbstverständlich ist es wichtig, dass Prinzipien wie Security-by-Design bei grundlegenden, unternehmerischen Entscheidungen eine Rolle spielen, dabei wird jedoch allzu häufig die angespannte Lage in den IT-Abteilungen übersehen.
Automatisierung von Prozessen zunehmend wichtig
In den meisten Organisationen arbeiten Administratoren und andere IT-Angestellte am Limit. Neueinstellungen sind schwierig, da die Situation auf dem Arbeitsmarkt angespannt ist, vor allem im Bereich IT-Sicherheit. Im Rahmen der Global Security Workforce Study aus dem Jahr 2015 wurden über 19.000 Experten weltweit nach ihrer Situation befragt. Die Ergebnisse belegen, dass 70 Prozent der Unternehmen in der DACH-Region einen Personalmangel haben. Damit können viele Unternehmen nicht ihren Sicherheitsansprüchen gerecht werden.
Es ist schwierig auf dem Arbeitsmarkt Sicherheitsexperten zu rekrutieren, daher benötigen IT-Abteilungen die richtigen Werkzeuge, um bei gleichem Personaleinsatz mehr leisten zu können. Um die Effizienz von Arbeitsprozessen zu erhöhen, ist eine Automatisierung von Sicherheitsprozessen unausweichlich. Da diese Thematik so kritisch ist, sollte das Vorgehen immer auf Angestellte und Nutzer zugeschnitten sein. Die Akteure unterhalb der Führungsebene miteinbezogen werden.
C-Level und IT-Fachkräfte: Das Beispiel DSGVO
Die DSGVO ist ein gutes Beispiel, um die verschiedenen Rahmenbedingungen von Strategie und Ausführung darzustellen. Im Artikel 32 der DSGVO spricht die EU sich für den Einsatz von Verschlüsselungsverfahren aus. IT-Entscheider würden zügig eine Prüfung von Assets veranlassen und ihre Sicherheitsverantwortlichen damit beauftragen, kritische Informationen und persönliche Daten zu verschlüsseln.
In der Praxis betrifft die Thematik Kryptografie mehrere Arbeitsbereiche: Cloud, mobile Endgeräte, einzelne Daten und Ordner, Festplatten und andere Speicherträger, E-Mails und Netzwerkverkehr stellen alle unterschiedliche Anforderungen an die Verschlüsselung. IT-Administratoren müssen unter Zeitdruck die einzelnen Teile absichern und entsprechende Policies durchsetzen, ohne dabei die Nutzerfreundlichkeit zu beeinträchtigen.
Ohne Unterstützung durch Automatisierung-Lösungen ist die Aufgabe nicht zu bewältigen. Eine strategische Aufgabe wie die Compliance mit der DSGVO führt ohne passende Tools zu überlasteten Mitarbeitern und frustrierten Nutzern. Dasselbe gilt bei der Auditierung. Dort ändern sich die Voraussetzungen ebenfalls. Der Artikel 34 der EU-DSGVO erläutert hier die Rahmenbedingungen. Ein Monitoring in Eigenregie ist allerdings aufwendig und bedeutet ohne technische Unterstützung zusätzlichen Aufwand.
Es ist derzeit zu früh von Best Practices beim Thema Automatisierung und DSGVO zu sprechen. Allerdings bewähren sich zentrale Verwaltungsansätze, mit der sich Sicherheits-Ereignisse genau analysieren lassen. Im Optimalfall kommen die einzelnen Sicherheits-Tools aus einer Hand und folgen einem ineinandergreifenden Prinzip, um mögliche Bedrohungen gleich von mehreren Seiten entgegenzuwirken.
Fazit: Kritisch prüfen, IT-Abteilung einbeziehen
Fast alle Unternehmen erweitern ihre Sicherheitsmaßnahmen und haben gleich mehrere Schutzmechanismen integriert. Die Datenschutzgrundverordnung ist eine von vielen Herausforderungen und IT-Abteilungen haben im Laufe der Zeit immer mehr Werkzeuge in ihr Sicherheitsportfolio aufgenommen. Dieser Schritt ist grundsätzlich zu begrüßen, den durch den technischen Fortschritt gibt es keine Universalwaffe für IT-Sicherheit.
Trotzdem birgt diese Entwicklung auch Risiken: Durch den Wettbewerb werden Produkte auf den Markt geworfen, die nicht ausgereift sind oder nicht auf die Marktanforderungen passen. Besonders Sicherheits-Tools, die ursprünglich für Vorgaben und Datenschutzrichtlinien im Ausland entwickelt wurden, entsprechen oft nicht den Erwartungen. Konkret sollten Unternehmen bei Sicherheitslösungen immer nach Referenzen des Herstellers fragen. Nur weil ein Produkt Compliance und Sicherheit verspricht, muss das nicht heißen, dass es auch für Ihren Use Case geeignet ist. Die Belange der IT-Abteilung bzw. der Belegschaft sollten ebenfalls in die Security-Strategiefindung einfließen.
Die incoperating als Partner bezüglich IT-Sicherheit
Die incoperating unterstützt Sie gerne in der strategischen Ausarbeitung Ihrer IT-Sicherheit. Unsere Partner Sophos und Bitdefender liefern hier passende, hochqualitative Produkte. Mit Active Directory von Microsoft steuern wir außerdem Ihre Benutzerverwaltung und unterbinden so unbefugte Tätigkeiten innerhalb Ihrer IT-Infrastruktur. Kontaktieren Sie uns außerdem, um unser kostenloses, unverbindliches IT-Infrastruktur Audit in Anspruch zu nehmen. Dies gibt Ihnen die Möglichkeit, Ihre Infrastruktur auf mögliche Schwächen und Sicherheitslücken hin zu prüfen und unsere Services und Arbeitsweise kennenzulernen.
Originalartikel: https://www.computerwoche.de/a/warum-it-security-mehr-als-chefsache-ist,3331625