Kommentar: Security
Balance: Sicherheit kontra Geschäftsprozesse
Die IT muss sicherstellen, dass die Sicherheit die Gefahren in Schach hält und trotzdem den Nutzern größtmögliche Freiheiten gewährt.
Die Balance zwischen den Sicherheitsanforderungen und der Benutzerfreundlichkeit ist nicht immer einfach herzustellen. In vielen Fällen baut die IT bei der Umsetzung der Sicherheitsanforderungen unüberwindbare Hindernisse auf. Diese fast unüberwindbaren Sicherheitsbarrieren müssen von den frustrierten Benutzern trickreich umgangen werden, um ihr Tagesgeschäft erledigen zu können.
Ein solches Verhalten ist natürlich ein Schlag ins Gesicht der Sicherheitsziele. Das ultimative Ziel der IT-Sicherheit besteht darin die Unternehmensinformationen vor internen und externen Bedrohungen zu schützen. Es geht darüber hinaus darum, Probleme zu vermeiden, rechtzeitig zu entdecken und Probleme bei der Umsetzung in der Praxis möglichst auszuschließen. Die IT-Abteilungen können heute aus einer Vielzahl von Security-Produkten, Hardware- und Software-Lösungen auswählen und die Sicherheitsbarrieren physikalisch im Unternehmen oder auch in der Cloud realisieren.
Die meisten Menschen passen sich den Sicherheitsanforderungen ihres Unternehmens „dynamisch“ an. Aber es sind auch die speziellen Nutzer zu finden, die ganz bewusst immer wieder die vorgegebenen Sicherheitsrichtlinien überschreiten beziehungsweise diese ignorieren. Meist wird ein solcher Bruch der Sicherheitsrichtlinien damit begründet, dass die Sicherheitslösung die Anwendung verlangsamen oder den Zugang zu „wichtigen“ Informationen und Websites blockieren würde.
Es ist auch das Verwischen der Grenze zwischen den in den Unternehmen gültigen Sicherheitsrichtlinien und den Nutzungsgewohnheiten aus dem Privatleben der Nutzer zu beobachten. Letztendlich werden die – unabsichtlich oder bewusst – die Sicherheitsrichtlinien der Unternehmen überschritten und dadurch die Sicherheit des eigenen Unternehmens gefährdet.
In der Praxis installieren heute interne Mitarbeiter und Vertragspartner der Unternehmen ihre eigenen WLAN-Access-Points. Andere nutzen ihre privaten Rechner für ihre Geschäftsanwendungen und ignorieren dabei, die von der eigenen Firma vorgegeben BYOD-Regeln. Auch findet man immer mehr „illegale“ Nutzer von Cloud-Services. In einem Fall hat ein Geschäftsführer eines Unternehmens von der Cloud-Nutzung seiner Mitarbeiter über eine Pressemitteilung des Cloud-Anbieters erfahren.
In einer kürzlich von CompTIA veröffentlichten Studie „Trends in Information Security Study“ wird festgestellt, dass die Unternehmen derzeit nicht alle kritischen Komponenten der IT-Sicherheit adressieren. In der Regel mangelt es an fundierten Sicherheitsqualifikationen der IT-Abteilungen und einer ausreichenden Ausbildung der gesamten Belegschaft in Sachen „IT-Sicherheit". Bei mehr als 55 Prozent der an der Studie teilnehmenden Unternehmen, wurde als Hauptursache für bekannt gewordene Sicherheitsvorfälle, der menschliche Faktor genannt. Nur 45 Prozent der Sicherheitsvorfälle waren auf Fehler in der Technologie zurückzuführen. Daher müssen sich die Unternehmen verstärkt um die interne Mitarbeiter kümmern.
Einerseits muss die IT bei den Arbeitnehmer sicherstellen, dass diese die Sicherheitsrichtlinien und -verfahren des Unternehmens befolgen. Anderseits wird der Einsatz der Überwachungstechniken durch die geltenden Gesetze drastisch eingeschränkt. Trotzdem muss die IT ständig nach illegal installierten beziehungsweise nicht autorisierten Geräten im Netzwerk forschen und darüber hinaus das falsche Nutzerverhalten dokumentieren. Letzteres kann nur mit einer fundierten Ausbildung begegnet werden. Eine Berechnung eines Return on Investments (ROI) für eine solide Sicherheitsausbildung der Benutzer ist schwierig, aber an der kontinuierlichen Ausbildung der Mitarbeiter kommt kein Unternehmen vorbei, wenn es das Thema Sicherheit ernsthaft betreibt.
- Balance: Sicherheit kontra Geschäftsprozesse
- Sicherheitskosten
Lesen Sie mehr zum Thema
