Kommentar: Unternehmenssicherheit
Vom sicheren Umgang mit der Unsicherheit
Fortsetzung des Artikels von Teil 1
Irreführende Indikatoren
Die meisten Firmenleiter und Manager haben von der IT-Sicherheit ein veraltetes und unpassendes Bild. Diese geht davon aus, dass sich alle Sicherheitsvorfälle und alle Angriffe bereits am Perimeter stoppen lassen. Natürlich lassen sich für die vertrauensseligen Manager die Anzahl der blockierten Einbruchsversuche in einer entsprechenden Graphik darstellen. Nichts ist leichter als so ein „beeindruckendes“ Schaubild zu erstellen. Das Management bekommt bei dessen Anblick und bei einem weiteren Blick auf das dahinter liegende Zahlenwerk ein „richtig gutes Gefühl“. Die Zahlen besagen jedoch nichts und das Sicherheitsteam muss immer noch mühselig herausfinden, welche Angriffe nicht blockiert wurden.
Die Wurzel der falschen Erwartungen an die Sicherheitssysteme in den Unternehmen beruht auf dem starken Wunsch zu glauben, dass irgendjemand irgendwo kompetent ist in dem, was er tut. Aus diesem Grund müssen die getroffenen Maßnahmen doch endlich zum Ziel führen. Wenigstens irgendwie.
Die Führungs- und Managementebenen in den Unternehmen werden jedoch von dem vorherrschenden Gefühl der Hilflosigkeit gegenüber der Digitalisierung dominiert. Diese Hilflosigkeit resultiert aus einem tiefen Nichtverständnis der vernetzten Welt. Manche können sich des Gefühls nicht erwehren, dass sie einer Entwicklung ausgeliefert sind, die wirklich niemand versteht. Daher gehört die Fixierung auf mittlere Antwortzeiten beziehungsweise die schnelle Behebung der Sicherheitsprobleme zu den bewährten Ablenkungsmechanismen. Solche Wunschvorstellungen ignorieren jedoch die Tatsache, dass die Angreifer dazu neigen, sich langsam und beständig durch die Netzwerke zu bewegen. Die Sicherheitsexperten können ein Problem schnell beheben, aber wenn niemand versucht, festzustellen, was der Angreifer im Netz angerichtet hat, kann ein anderes System von demselben Angreifer bereits unbemerkt manipuliert worden sein.
Die Konzentration auf einzelne Probleme allein und nicht auf die Sicherheit als Ganzes macht die Umgebungen anfällig für weitere Probleme. Ein tragischer Irrtum, denn niemand wird und muss die Konsequenzen aus dem falschen Handeln ziehen. Es ist nicht damit getan, eine Antwort auf ein singuläres Symptom zu geben. Wir befinden uns noch immer auf der Suche nach der absoluten Sicherheit im Netzzeitalter. Ein Teil des Problems entstand, weil unsere logischen Systeme, die für das Beantworten von Fragen geschaffen wurden, niemals die Antwort "Keine Ahnung!" akzeptieren. Wer die Aufgabe hat, per Datenauswertung Hackingangriffe zu finden, wird die Hacker finden. Und wenn er diese selbst produzieren muss.
Nur 28 Prozent der Führungskräfte in einer kürzlich veröffentlichten Umfrage fühlten sich von den in ihren Unternehmen genutzten Sicherheitsmechanismen "umfänglich geschützt". Bei 65 Prozent der Befragten bestanden jedoch erhebliche Zweifel an deren Wirksamkeit.
Fazit
Erkenntnis ist das einzige Mittel gegen Hilflosigkeit, graphische Schaubilder taugen nur zu deren Linderung. Die schlichten Antworten, die die Manager und Unternehmensführungen von den Sicherheitsexperten abverlangen sind eine Frechheit. Die Frage nach dem Warum wurde durch den Glauben an die Wahrheit beziehungsweise Allmacht der Zahlen abgelöst. Weil sie ja darin liegen muss, um der eigenen Hilflosigkeit zu begegnen. Die Sicherheitsexperten müssen daher ihrer Geschäftsleitung erklären, wie man mit der Unsicherheit in Sicherheitsfragen umgeht und wie man sich auf die wirklich wichtigen Fragestellungen konzentriert.
- Vom sicheren Umgang mit der Unsicherheit
- Irreführende Indikatoren
Lesen Sie mehr zum Thema
