Security-Basics
Warum Security-Produkte selten für mehr Sicherheit sorgen
Fortsetzung des Artikels von Teil 1
Erst denken und planen. Dann kaufen.
IT-Security lässt sich also nicht durch ein Produkt erzielen, sondern erfordert einen soliden Prozess. Der erste Schritt zu mehr Sicherheit ist es, sich dem Thema konzeptionell zu nähern. Basismaßnahmen, die die Sicherheit überdurchschnittlich steigern, ohne große oder neue Investitionen tätigen zu müssen, sind zum einen organisatorischer Natur. Zum anderen müssen Grundlagen wie Network Access Control (NAC) sowie Netzwerk-Segmentierung gewährleistet sein und alle Systeme stets aktualisiert und gepatched werden. Ist dies der Fall, erhöht sich die Sicherheit signifikant.
Gegen 99,9 Prozent aller Angriffe schützen organisatorische Maßnahmen und eine solide und lückenfreie IT-Infrastruktur am besten, wohingegen Einführungen von neuen technischen Lösungen die Sicherheit in der Regel nur geringfügig beeinflussen. Neue Produkte haben vor allem dann nicht den erwarteten Effekt, wenn im Vorfeld weder organisatorische noch strategische Betrachtungen erfolgt sind oder die Einbindung in das Gesamtkonzept nicht bedacht wurde. Welche konkreten Erwartungen gibt es an die neue Technologie? Was soll sie schützen, und wovor soll sie schützen? Lässt sich der Erfolg messen beziehungsweise mithilfe von Leistungskennzahlen konkret bewerten?
Der sicherste Weg, um durch das Raster zu fallen
Organisatorische Maßnahmen erfordern keine monetäre Investition, wohl aber Zeit und Mühe. Belohnt wird dies mit einem überdurchschnittlich steigenden Sicherheitsniveau. Denn wie in der physischen Welt, ziehen Angreifer, die auf das schnelle Geld aus sind, das ungesicherte dem gesicherten Haus vor. Bei organisierten kriminellen Netzwerken fallen Unternehmen mit einer sauberen, grundsoliden IT-Infrastruktur schnell durchs Raster. Wahr ist jedoch auch, dass Unternehmen gegen einen gezielten Angriff so gut wie nichts ausrichten können – egal, welches finanzielle Investment dahintersteckt. Keine Technologie kann davor schützen, Opfer eines strategisch geplanten Datendiebstahls zu werden. Das Risiko, ins Visier von staatlichen Geheimdiensten, Regierungsorganisationen oder Wettbewerbern zu gelangen, ist gleichwohl auch verschwindend gering. Eine solide Infrastruktur und gute Organisation sind aber selbst in diesen Fällen die beste Vorkehrung.
Wer komplett auf Nummer sicher gehen möchte, hat obendrein die Möglichkeit, eine Cybersecurity-Versicherung abzuschließen. Es gibt lohnenswerte Angebote, die dann Einspringen, wenn Daten entwendet oder manipuliert wurden oder IT-Systeme ausfallen. Die Versicherungen helfen nicht nur finanziell, sondern auch beim Krisenmanagement und der Öffentlichkeitskommunikation.
Zurück zu den Wurzeln und die Hausaufgaben machen statt blind auf Security-Produkte zu setzen – ein Fazit, das floskelhaft klingen mag, am Ende des Tages aber den konkreten Unterschied zwischen sicheren und unsicheren IT-Umgebungen ausmacht.
Gerald Hahn ist Vorstand des Cybersecurity-Großhändlers Softshell
- Warum Security-Produkte selten für mehr Sicherheit sorgen
- Erst denken und planen. Dann kaufen.
- Hintergrund: Organisatorische Fragen, die für deutlich mehr Sicherheit sorgen
Lesen Sie mehr zum Thema
