Viele Unternehmen haben erheblichen Aufwand in ihre Digitalisierung gesteckt. Doch dann wurde ihr Netzwerk infiltriert und später ihre Services mit Ransomware angegriffen. So teuer wie an der IT-Sicherheit haben Unternehmen noch nie gespart.
Allzu oft wissen Unternehmen nicht einmal, dass sie angegriffen werden, da sie keine geeigneten Erkennungsmechanismen besitzen. Eine solche Sparsamkeit und Zurückhaltung in Sachen IT-Security wirkt angesichts der aktuellen Bedrohungslandschaft unangebracht. Häufig wird IT-Security eher als Hindernis empfunden, das der Effizienzsteigerung oder der Einführung neuer Technologien im Wege steht. Der Mangel an Skills, Ressourcen, Zeit und Investitionsbereitschaft ist ebenfalls ein Hemmschuh. Zudem wird IT-Sicherheit oft in Form von Einzellösungen gedacht, die spezielle Probleme beheben.
Ziel muss es sein, die Synergien zwischen den Security-Lösungen zu erkennen und zu heben. Bei echten Synergien addiert sich 1+1 eben nicht auf 2, sondern auf 3. Dazu müssen die Tools auf Framework-Prozesse gemappt werden, um alle Funktionen wie Identifikation, Schutz, Erkennung, Reaktion und Wiederherstellung abzudecken. Auch ist geeignetes Personal mit entsprechendem Know-how nötig, denn der beste Markengrill hilft nichts, wenn man ihn nicht fachgerecht bedienen kann.
IT-Security ist auch kein Projekt, das zu einem bestimmen Zeitpunkt abgeschlossen ist. Sie muss ständig weiterentwickelt und angepasst werden. Kein Wunder, dass durch die aktuellen Trends sogar viele CIOs und CISOs von der Komplexität der Aufgabe überfordert sind und einfach so weitermachen wie bisher.
Effiziente Lösungen
Dabei ist es gar nicht so schwer, zum Beispiel Grundsteine für Zero Trust zu legen. Diese Security-Transformation basiert auf dem Grundsatz, keinem Gerät, Nutzer oder Dienst innerhalb oder außerhalb des eigenen Netzwerks zu vertrauen. Das erfordert ganzheitliche Maßnahmen zur Authentifizierung aller Anwender und Dienste sowie zur ständigen Überprüfung der Kommunikation.
Allerdings ist eine wichtige Voraussetzung, dass die Top-Management-Ebene Informationssicherheit in ihren Business-Modellen verankert und zusätzlich die Rolle eines CISO besetzt. Dies ermöglicht das strukturierte Management der Informationssicherheit, ohne Kompromisse für andere KPIs eingehen zu müssen. Eine wirtschaftliche Bewertung der Risiken fördert sogar die Investitionsbereitschaft für Security.
Die wichtigsten Aufgaben des CISO sind:
- Etablierung eines Managementsystems zur Informationssicherheit (ISMS)
- Durchführung von Risikoassessments und Business-Impact-Analysen
- Aufbau und Betrieb einer Organisationseinheit zur Umsetzung der Sicherheitsziele
- Bewusstsein der Mitarbeitenden für Informationssicherheit durch Kampagnen schaffen
- Portfolio-Management der sicherheitsrelevanten Geschäftsprozesse
- Kontinuierliche Analyse und Optimierung der Informationssicherheit im Unternehmen
- Austausch zur Informationssicherheit und Cyber Security in Verbänden und Netzwerken
Diese Aufgaben gehen über die Verantwortung der IT-Abteilung hinaus. Zum Beispiel bietet Campana & Schott Hilfestellung für Zero Trust und ISMS, Informationssicherheit für Dokumente sowie der technischen Implementierung. Dabei kann eine ganzheitliche Strategie und Roadmap komplexe Herausforderungen in kleine Probleme teilen und schrittweise lösen.
Eine veränderte Sicherheitskultur muss mit entsprechendem Change Management begleitet werden. Der Partner kann Mitarbeitende des Kunden zu Security-Helfern ausbilden. Denn Know-how ist ein unverzichtbarer Baustein im Konzept der IT-Sicherheit. Dieses Potenzial muss gehoben werden. Dann öffnen sich die digitalen Tore auch nur noch für erwünschte Besucher.