Wenn man manche der in den vergangenen Monaten bekannt gewordenen Angriffe betrachtet, bekommt man den Eindruck, dass viele Unternehmen eine Vogel-Strauß-Politik für Informationssicherheit verfolgen, meint Martin Kuppinger.
Unwissenheit schützt so wenig vor Strafe wie vor Angriffen. Der erste Schritt hin zu mehr Informationssicherheit ist, seine Schwachstellen zu kennen und mögliche Angriffe zu erkennen.Dieses Ziel muss man auf zwei Ebenen erreichen. Die eine Ebene ist eher organisatorisch, die andere eher technisch. Auf der organisatorischen Ebene geht es um eine gezielte Analyse der Risiken und, damit verbunden, auch des Schutzbedarfs von Informationen. Nur wer weiß, welche Informationen wie sensitiv sind, kann auch gezielt Maßnahmen ergreifen, um die wirklich gefährdeten Informationen zu schützen. Solche Analysen helfen auch dabei, statt mit ein bisschen Sicherheit für alle Informationen mit gezielter Sicherheit für die wirklich sensitiven Informationen zu arbeiten.
Die Betonung liegt dabei bewusst auf Informationssicherheit und nicht auf Systemsicherheit – entscheidend ist, dass sensitive Informationen zu jedem Zeitpunkt adäquat geschützt sind und nicht nur in einzelnen Systemen.
Die zweite, technische Ebene ist eine permanente, soweit wie möglich standardisierte und automatisierte Analyse von möglichen Angriffen. Hier kommen Werkzeuge wie SIEM (Security Information and Event Management) ins Spiel, mit denen man die verschiedenen Protokolle automatisiert verarbeiten kann. Aber auch spezialisierte Managed Services für die IT-Sicherheit können eine Option sein. Die Zielsetzung ist, dass man Abweichungen von der Norm erkennt und potentielle Angriffe erkennt, um diese dann (meist manuell) bewerten und bearbeiten zu können. Nur wenn man weiß, ob und welche Angriffe es gibt, kann man auch gezielt darauf reagieren.
Ohne diese Hausaufgaben gemacht zu haben, sind auch Investitionen in Sicherheitstechnologien eher fragwürdig. Geld auszugeben, um sich gegen etwas zu schützen, das man nicht kennt, bringt vergleichsweise wenig. Natürlich hat man oft einigermaßen zutreffende Vermutungen darüber, welche Informationen wohl besonders sensitiv sind und welche Angriffe am wahrscheinlichsten sind. Aber Vermutungen reichen nicht aus, weil die Maßnahmen dann praktisch immer Stückwerk bleiben und damit Sicherheitslücken lassen.
Der Aufwand, sich damit zu beschäftigen, was zu schützen ist und welche Angriffe es aktuell gibt respektive in der Lage zu sein zu erkennen, wenn es denn welche gibt, ist die Basis, um gezielt Maßnahmen für eine Erhöhung der Sicherheit und eine Verringerung des Risikos ergreifen zu können. Dass das ein Aufwand ist, der die IT-Organisationen vieler Unternehmen dazu zwingt, sehr viel strukturierter zu arbeiten als bisher, steht außer Frage. Dem initialen Aufwand steht aber gegenüber, dass man danach gezielter handeln kann und, richtig gemacht, viel Aufwand für im Ergebnis überflüssige (weil redundante oder nicht zielführende) Sicherheitsansätze sparen kann.
Ob man in Summe spart, sei dahingestellt. Aber Sicherheit kostet Geld – und inzwischen kosten Sicherheitsmängel so viel Geld (man denke an Sony, RSA Security und viele andere Fälle), dass die Rechnung, Geld bei der Sicherheit zu sparen und darauf zu hoffen, dass nichts passiert, immer seltener aufgeht. Abgesehen davon: Risikomanagement ist eine zwingende Kernaufgabe des Managements, und dazu gehört eben auch und gerade die Informationssicherheit und der bewusste Umgang mit Risiken in diesem Bereich.