Sicherheitsattacken werden immer raffinierter und doch rüsten viele Unternehmen ihre IT-Sicherheit nicht adäquat auf, obwohl sie um die potenziell fatalen Folgen von Einbrüchen wissen. Dell erklärt in zehn Schritten, welche Maßnahmen unbedingt notwendig sind, damit sich Unternehmen wirkungsvoll schützen können.
Es gibt keine hundertprozentige Sicherheit. Diese Gewissheit sollte Unternehmen aber nicht dazu verleiten, fahrlässig mit ihrer IT-Sicherheit umzugehen. Leider, so das Ergebnis einer aktuellen Studie von Dell (1), gibt es in vielen Organisationen erhebliche Schwachstellen, die sie leicht verwundbar für immer zahlreichere und aggressivere Angriffe machen. Viele Firmen sind kaum in der Lage, mit der unerbittlichen Dynamik der Attacken Schritt zu halten, wodurch ihr Abwehrpotenzial stetig abnimmt. Dabei steht so viel auf dem Spiel: vom Diebstahl geheimer Daten bis hin zum Ausfall ganzer Rechenzentren. Im schlimmsten Fall bedeuten solche Katastrophen das Ende eines Unternehmens, mindestens aber einen empfindlichen wirtschaftlichen Schaden.
Dell empfiehlt Unternehmen in zehn wichtigen Schritten, wie sie ihre IT-Sicherheit verbessern können. Ein solches Projekt umfasst folgende Schritte:
1. Die Geschäftsleitung involvieren. Das Bewusstsein für IT-Angriffe ist bei Führungskräften zwar deutlich gestiegen. Trotzdem blockieren sie – oft aus Renditegründen – immer wieder notwendige IT-Sicherheitsbudgets. Es ist daher fundamental, sie umfassend zu informieren, sicherzustellen, dass sie die Tragweite des Sicherheitsprojekts erkennen, und sie für das Projekt ab der ersten Stunde zu gewinnen. „Die Bedeutung dieses ersten Schrittes können wir nicht oft genug unterstreichen“, erklärt Sven Janssen, Security-Experte bei Dell;
2. Eine Bestandsanalyse durchführen. Dieser umfangreiche Schritt beinhaltet nicht nur die Auflistung von Geräten und Lösungen und deren Eignung für die Abwehr der fortschrittlichen Sicherheitsattacken. Es ist ebenso wichtig, die unterschiedlichen IT-Bereiche mit ihrer jeweiligen Applikations-bezogenen Rechteverwaltung, das Sicherheitsbewusstsein der User, die Abstimmung zwischen den Abteilungen sowie wahrscheinliche interne und externe Gefahrenquellen zu bewerten. Dazu kommen existierende Sicherheitsrichtlinien, tatsächliche und potenzielle Sicherheitspersonal-Ressourcen und natürlich auch Budgets;
3. Eine integrierte Abteilung aufbauen. Darauf basiert das gesamte Projekt. Ausgehend von der Bestandsanalyse wird eine zentrale IT-Sicherheitsabteilung geplant, die alle sicherheitsrelevanten Aspekte des Unternehmens umfasst und aufeinander abstimmt. Diese integrierte Sichtweise ist deshalb von so großer Bedeutung, weil unabhängige Sicherheitssilos, wie sie in den meisten Unternehmen existieren, in ihrer Gesamtheit wenig effizient arbeiten und sogar erhebliche Sicherheitslücken übersehen. Sie müssen unbedingt vermieden werden. Je nach Umfang der Aufgaben ist die Position eines CISO, also Chief Information Security Officer, für die Leitung dieser integrierten Abteilung zu prüfen. Sämtliche Sicherheitsmaßnahmen gehen dann von ihr aus;
4. Eine Sicherheitsstrategie entwickeln. Erwartungen an die IT-Sicherheit werden hier festgelegt: Wie viel darf welche Sicherheit kosten, welche Risiken können in Kauf genommen werden? Welche Personalressourcen werden benötigt? Wie reagiert das Unternehmen bei welchem Einbruch? Welche Systeme sind notwendig? Mit welchen Projekt-Zeitrahmen ist zu rechnen? Werden externe Dienstleister benötigt? Anschließend werden Budget- und Personal-Szenarien entworfen;
5. Budgets verhandeln. Je früher und intensiver Führungskräfte in das IT-Sicherheitsprojekt eingebunden sind, desto besser können sie die notwendigen Budgets nachvollziehen, und desto konstruktiver gestalten sich die Verhandlungen. Merke: ohne Moos nix los. Erst nach Budgetfreigabe nimmt das Projekt seine konkrete Gestalt an;
6. Sicherheitsrichtlinien ausarbeiten. Einer der wichtigsten Aspekte im Rahmen einer Strategie ist die Ausarbeitung unternehmensweiter Richtlinien. Sie sollten auch alle notwendigen Compliance- und sonstigen gesetzgeberischen Aspekte berücksichtigen, unter anderem die neue EU-Datenschutz-Grundverordnung;
7. Neue Systeme und Updates installieren. Nicht nur die Anschaffung moderner Systeme und Lösungen, die in der Lage sind, es mit fortschrittlichen Attacken aufzunehmen, ist essenziell: schließlich sind, so die erwähnte Dell-Studie, horrend viele IT-Sicherheitssysteme veraltet. Ebenso im Mittelpunkt der Systempflege sollte das regelmäßige, zeitnahe Aufspielen aktueller Updates stehen;
8. Mitarbeiter-Schulungen vorsehen. Die ständige Schulung der Mitarbeiter hinsichtlich IT-Sicherheit und der Folgen von Einbrüchen ist ebenfalls unentbehrlich, etwa auf der Basis eines mittelfristigen Schulungsplans: Wer wird wie oft zu welchen Themen ausgebildet?
9. Der Geschäftsleitung reporten. Abstrakte und einmalige Informationen über die IT-Sicherheit sind langfristig nicht hilfreich: Je konkreter IT-Abteilungen der Geschäftsleitung über Angriffe berichten, desto eher bleiben Führungskräfte dem Sicherheitsprojekt gewogen. Eine regelmäßige Executive Summary mit der grafischen Darstellung konkreter, operativer Angriffszahlen auf Basis der Sicherheitslogs sensibilisiert die Empfänger nachhaltig für das Thema;
10. Eine Kontrollschleife einbeziehen. Ein System ist nur so gut wie sein ständiges Hinterfragen: Die IT-Sicherheit und deren Integrität muss hinsichtlich seiner Effizienz regelmäßig durchleuchtet werden. Berücksichtigt werden sollten neue Gefahren, aktuelle Lösungen am Markt oder auch die Veränderung der Organisation im Unternehmen. KPIs, also Leistungskennzahlen, die immer wieder erweitert oder an neue Situationen adaptiert werden, sind sehr hilfreich.
„Der Aufbau einer zentralen Abteilung, die allein eine integrierte Sicht auf die IT-Sicherheit des gesamten Unternehmens erlaubt, ist nicht von heute auf morgen zu bewerkstelligen“, erklärt Janssen, „Es gibt in der Regel auch viele Stolpersteine, die es aus dem Weg zu räumen gilt. Einige sind technischer und organisatorischer Art, viele leider auch politischer Natur. Es gilt etwa, die Geschäftsleitung an Bord zu holen oder Bereichsleiter davon zu überzeugen, besser miteinander zu kommunizieren oder gar einen Teil ihrer Verantwortung abzugeben. Dazu ist nicht nur technisches Know-how, sondern auch diplomatisches Geschick nötig. Wichtig kann hier sein, neutralen, weil externen IT-Dienstleistern die Moderationsrolle zu übergeben.“