Select your location
Austria

Austria

Czech Republic

Czech Republic

Germany

Germany

Italy

Italy

The Netherlands

The Netherlands

Romania

Romania

Wie viel Sicherheit ist genug?

"IT-Manager nach HAFNUIM-Hack entlassen"

Diese Überschrift könnte ohne weiteres aus einer Zeitung oder einem Fachmagazin stammen. Meines Wissens wurden jedoch (noch) keine IT-Manager aufgrund des jüngsten HAFNIUM-Vorfalls entlassen. Trotzdem halte ich die Überschrift für realistisch. Wieder waren wir "geschockt" und wieder herrschte Panik im Zelt. In solchen Situationen sind es häufig die IT-Manager und CIOs, die für den Einbruch oder die Datenverletzung zur Verantwortung gezogen werden. Manchmal zu Recht - oft aber auch nicht.

Die jüngsten Sicherheitslücken in Microsoft Exchange Servern führten zu den üblichen Reaktionen in der Geschäftswelt: Panik, chaotische Ad-hoc-Aktionen und eine starke Beanspruchung aller möglichen Ressourcen im Unternehmen, die ohnehin schon ausgelastet sind. Sie fragen sich vielleicht warum, denn Vorfälle wie diese werden immer mehr zum " Business as usual". Die einzige Möglichkeit, sich davor zu schützen, besteht darin, das gesamte Unternehmen in die IT-Sicherheitspolitik mit einzubeziehen. Auch die beste und teuerste Alarmanlage in Ihrem Haus ist sinnlos, wenn Sie Ihren Kindern nicht sagen, dass sie die Tür abschließen sollen.

 

Security als Blackbox

Die Tatsache, dass IT-Manager und CIOs häufig für solche Schwachstellen verantwortlich gemacht werden, ist Folge einer zu engen Sichtweise in den Vorstandsetagen, wenn es um IT-Sicherheit und Datenintegrität geht. Dort wird Informationssicherheit oft als Blackbox angesehen - eine undurchschaubare Trickkiste, die, solange man nur genügend Geld reinsteckt, sicherstellt, dass die Bösen draußen bleiben. Wenn aber doch etwas schief geht, schaut jeder zum CIO.

Die Wahrung der Datenintegrität kann und sollte jedoch niemals Aufgabe eines einzelnen Geschäftsbereichs sein. Ihre Bedeutung muss allgemein anerkannt sein und jeder innerhalb der Organisation muss sich seiner Verantwortung bewusst sein und sie übernehmen.

Wie viel Sicherheit ist genug?

Diesem Bewusstsein steht jedoch oftmals ein Mangel an Wissen im Wege. Woran Sie das erkennen? Zum Beispiel an den bekannten Fragen: "Wie viel soll ich für IT-Sicherheit ausgeben?" oder "Wie viel Sicherheit brauche ich?" Glücklicherweise bieten diese Fragen einen guten Ansatzpunkt, um Datensicherheit zu erklären - und die Bedeutung eines integrierten Ansatzes zu demonstrieren.

Stellen Sie sich Ihr Unternehmen wie ein Haus vor. Wie viel Sicherheit braucht das Haus? Das hängt davon ab, wo das Haus steht, welche Art von Haus es ist, was sich darin befindet und wie groß das Risiko für einen Einbruch ist. Und die Kronjuwelen? Das ist nicht der teure LCD-Fernseher an der Wand, der ist austauschbar. Aber was ist mit dem Kunstwerk an der Wand oder dem Erbstück ohne finanziellen, jedoch großen emotionalen Wert?

 Stellen Sie sich Ihr Unternehmen wie ein Haus vor. Wie viel Sicherheit braucht das Haus? Das hängt davon ab, wo das Haus steht, welche Art von Haus es ist, was sich darin befindet und wie groß das Risiko für einen Einbruch ist.

Schloss mit Zugangscode

Nur wenn Sie wissen, was Ihre Schätze sind, können Sie Entscheidungen zu deren Sicherheit treffen. Ein Schloss allein reicht nicht mehr aus, daher installieren Sie zusätzlich einen Zugangscode. Wir sollten jedoch immer bedenken, dass sich trotz dieser grundlegenden Sicherheitsmaßnahmen manchmal jemand hereinschleichen könnte. Also überlegen wir weiter. Wir könnten das Kunstwerk mit einem Stahlkäfig sichern, was aber den Innenraum verunstalten würde. Ein verstecktes Nebelsystem, das den Einbrecher verwirrt, wäre eine weitere Option. Ebenso wäre ein Kamerasystem, das registriert, in welchen Räumen der Einbrecher herumschnüffelt, kein überflüssiger Luxus.

Es leben auch Kinder im Haus. Sie verlieren manchmal ihre Schlüssel oder vergessen, die Tür zu verschließen. Wäre ein Einbruch in dem Fall die Schuld der Sicherheitsfirma? Selbst mit modernsten Sicherheitssystemen müssen wir unsere Mitarbeiter kontinuierlich auf ihre eigene Verantwortung aufmerksam machen. Datensicherheit ist und bleibt ein Zusammenspiel von Technologie, Prozessen und Menschen, an dem die einzelnen Geschäftsbereiche unterschiedlichen Interessen haben.

 

 Kinder leben auch im Haus. Sie verlieren manchmal ihre Schlüssel oder vergessen, die Tür zu verschließen. Wäre ein Einbruch die Schuld der Sicherheitsfirma?

Wir können niemals ganz ausschließen, dass jemand eindringt. Aber wir können vorbereitet sein, Barrieren errichten, die Zeit, in der Einbrecher im Haus sind, minimieren und den Schaden begrenzen. Mit soliden Maßnahmen und aufmerksamen Bewohnern können wir unser Kunstwerk dort lassen, wo es hingehört: zu Hause an der Wand.


 

Cegeka Security Advisory Services: ProxyLogon/Hafnium Exchange Exploit