Sicherheit in der Informationstechnik bedeutet Qualitätsmanagement. Sie stellen sicher, dass die Systeme laufen, dass es keine ungewollten Stillstände gibt. Sie stellen sicher, dass Ihre Informationen Ihnen gehören und dass es keine unerwünschten Zugriffe gibt.
Es bedeutet aber auch, dass Sie Ihre Systeme kennen. Dass Sie wissen, welche auf keinen Fall von außen manipuliert oder gestört werden dürfen. Experten unterscheiden daher drei Sicherheitsstufen: normal, hoch und sehr hoch. Ein Angriff auf der normalen Ebene kommt einer kleinen Verletzung gleich. Auf der hohen Ebene tut er richtig weh, auf der höchsten Ebene kann er tödlich enden. Entsprechend gilt es, die Sicherheitsstrukturen hier mit allerhöchster Sorgfalt auszugestalten.
Diese Abstufungen zu definieren, ist einer der ersten Schritte. Vor allem gilt es dabei, den Überblick zu behalten. Es nützt nichts, an einer Stelle viel zu investieren und dabei andere Bereiche außer Acht zu lassen. Und natürlich ist es mit einmal Anpacken nicht getan. IT-Systeme erfahren ständig Aktualisierungen, Upgrades, Veränderungen. Entsprechend oft muss man die Sicherheit auf die Probe stellen, neu bewerten, prüfen und dann handeln.
IT-Security setzt voraus, dass man weiß, was passiert
Viele Sicherheitsrisiken werden gar nicht von außen ins System getragen, sondern kommen durch Unachtsamkeiten der eigenen Leute. Das auf einem Post-it notierte Passwort, an den Monitor geklebt, ist nicht die größte anzunehmende Leichtfertigkeit. Wenn Ihre Mitarbeiter heute Datenträger mitbringen, selbstständig Software aus dem Internet downloaden oder ohne Passwort auf Daten zugreifen können, dann ist das nächste Datenleck lediglich eine Frage der Zeit.
Ein erfolgreicher Verkäufer käme nie auf die Idee, seine Adressdaten nicht zu pflegen. „Ich habe doch voriges Jahr in Adressen investiert – das reicht noch Jahre.“ In der IT-Security wird dieses Argument aber gerne vorgebracht. Sicherheit wird da nicht als ein laufendes Verfahren betrachtet, sondern als eine Einmalinvestition. So, wie man sich einmal ein gutes Schloss fürs teure Rennrad leistet. Hat man sich die neue Firewall angeschafft, müsste eigentlich für eine Weile Ruhe sein. Falsch!
Die Bedrohung ist nicht statisch
Ihre Gegner sind dynamisch, intelligent und sie lernen dazu. So brauchen auch die Systeme der IT-Security einen Frühjahrsputz. Schaffen Sie Ordnung. Werden Sie Altlasten los. Räumen Sie auf, misten Sie aus. Denn wenn hier schon Unordnung herrscht, wie sieht es dann in den anderen Bereichen Ihres Unternehmens aus? Welche Lizenzen haben Sie vergeben? Welche Zugangsberechtigungen gibt es? Werden Passwörter auch wirklich geheim gehalten und laufend aktualisiert? Werden Updates und Patches zeitnah aufgespielt und installiert? Und werden sie getestet?
Wer es ernst meint, der nimmt solche Patches sorgfältiger unter die Lupe. Ein externer Dienstleister ist hier oft die beste Lösung. Er verfügt über die nötige Zeit und Logistik sowie das Know-how, um die Tauglichkeit einer neuen Anwendung für Ihr System tatsächlich und verlässlich auf die Probe zu stellen. Man kann sogar sagen: Wer es ernst meint, sourct aus. Mit den eigenen Ressourcen ist es nicht machbar. Der Bewertungsaufwand ist zu hoch.
Das Risiko lässt sich über die Formel Schadenshöhe mal Eintrittswahrscheinlichkeit ermitteln. Doch auch hier ist das Aufschreiben der Formel viel leichter als ihre Anwendung.