Gleich mehrere Trends sorgen 2009 für tiefgreifenden Wandel
Neue Ansätze in der Informationssicherheit
Die Sicherheit von Informationen bleibt auch 2009 ein Top-Thema der IT. Wie eine Finjan-Umfrage zum Jahresbeginn feststellte, werden auf diesem Gebiet nicht einmal die Budgets leiden. Inhaltlich allerdings wird sich im Umgang der Unternehmen mit dem Thema einiges ändern. Kernpunkte sollten dabei ein völlig neues Verhältnis zum Datenschutz und eine weitreichendere Integration in die Unternehmenssicherheit sein. Auch die Anbieter müssen deshalb umdenken.
Prognosen im Bereich Informationssicherheit sind immer eine heikle Angelegenheit - aber 2009 beginnt mit einigen Trends, bei denen es schon seltsam wäre, wenn sie das Fachgebiet nicht nachhaltig beeinflussen würden.
Der erste Trend, der sich schon Ende 2008 bemerkbar machte, ist der Bedeutungsschub für den Datenschutz. Hervorgerufen haben ihn die Skandale um Kundendaten, die verschiedensten Unternehmen "verloren gingen" oder - noch schlimmer - im illegalen Handel auftauchten, und diverse Affären um Mitarbeiterbespitzelungen. Die darauf folgende Sensibilisierung der Öffentlichkeit, die schlechte Presse, der Reputationsverlust bei den betroffenen Unternehmen und die zu erwartende Stärkung der Datenschutzvorschriften haben den Umgang mit dem Thema Datenschutz in den Unternehmen gründlich verändert.
"Datenschutz" galt Unternehmensführern und auch Sicherheitsspezialisten bisher häufig als lästiges Hindernis, im Haus bereits vorhandene Informationen - etwa über Kunden und Mitarbeiter - in vollem Maße zu verwerten. Im Bereich der Mitarbeiterkontrolle sah man die Datenschutzvorschriften sogar als Hindernis, die aus Gründen des Risikomanagements geforderte vollkommene Kontrolle über das Unternehmen gewährleisten zu können. Die Datenschützer, das Marketing und die IT-Sicherheit sahen einander oft genug als Gegner - Unternehmen wie Daimler, wo IT-Sicherheit und Datenschutz
schon seit Jahren eng zusammenarbeiten, blieben Ausnahmefälle. Jetzt allerdings hat man zu spüren bekommen, dass die eigenen Bestände speziell mit persönlichen Daten einen Wert darstellen, der auch von außen durch Kriminelle bedroht ist, und dass der Umgang damit sehr wohl darüber mit entscheidet, welchen Ruf ein Unternehmen in der Öffentlichkeit genießt. Auch aus diesem Grund spricht man nun, wie im
Editorial angedeutet, häufiger von Informationssicherheit als von IT-Sicherheit: Man wird sich 2009 mehr Gedanken um die Vertraulichkeit von Dokumenten und Datenbeständen machen, was vor allem den Themen Verschlüsselung und Data Loss Prevention Auftrieb geben wird.
Unternehmenssicherheit im Fokus
Der nächste Trend ist die zunehmende Unterordnung der IT-Sicherheit unter die Unternehmenssicherheit in den Organisationen. Physische Sicherheit, "menschliche" Sicherheit und IT-Security wachsen zusammen. Wenn dies mit Bedacht geschieht und man die Spezialisten der einzelnen Bereiche wirklich zusammenbringt, können daraus tatsächlich wirksamere Sicherheitskonzepte entstehen als zuvor. Gelingt die Kommunikation nicht, besteht die Gefahr, dass IT-Fachleute, die bereits deutlich seltener bei Unternehmensentscheidungen direkt mit herangezogenen werden als noch vor ein paar Jahren, ihre Budgetforderungen im Bereich Sicherheit immer seltener durchsetzen oder überhaupt verständlich machen können - das wäre kontraproduktiv. In jedem Fall werden Investitionsentscheidungen über Sicherheitsmaßnahmen in Zukunft häufiger auf Vorstands- und Geschäftsführerebene getroffen, wo man sicher eher bereit sein wird, auch alternative Betriebsmodelle wie Managed-Security-Services oder ein komplettes Outsourcing im Sinne von Security-Service-Providing in Betracht zu ziehen, um dem kostenträchtigen Wettlauf mit immer unübersichtlicheren Bedrohungen zu entgehen. Neben dem Dienstleistungssektor "Security-Services" dürften 2009 also auch solche Anbieter von der aktuellen Situation profitieren, die von jeglichen technischen Voraussetzungen unabhängige Beratungsleistungen für Sicherheitskonzepte erbringen und dabei die Führungsebene der Unternehmen als Zielgruppe adressieren.
Sicherheitsgewinn durch das "Überall-Web"
Dies hört sich sicher seltsam an: Die Verfügbarkeit von preiswerten Web-Zugängen an jedem Ort, kostengünstigen Multifunktions-Mobiltelefonen und Mini-PCs der Netbook-Klasse soll für Unternehmen einen Sicherheitsgewinn bedeuten können? Nun, wenn Sie bedenken, welche Probleme über Jahre hinweg die Privatnutzung von Web und E-Mail im Unternehmen durch Mitarbeiter bereitet hat, die viele Organisationen ihrer Belegschaft bieten wollten und sich dann mit - wenn auch meist heillos übertriebenen - Risiken konfrontiert sahen, dann kann es die Lage durchaus entspannen, wenn es bereits für 200 Euro ein Netbook für die Westentasche und für 20 Euro eine Internet-Mobilfunk-Flatrate per USB-"Surfstick" gibt. Die für manche Firmenstandorte fast schon als gegeben anzusehende moralische Verpflichtung, Angestellten auch privaten Internetzugriff für Banking-Zwecke und ähnliches zu gewähren, vermindert sich dann tatsächlich entscheidend.
Ob so allerdings tatsächlich eine Art neue Kommunikationskultur entsteht, bei der Menschen wieder stärker zwischen privater und geschäftlicher Kommunikation trennen? Die Entwicklung der Arbeitswelt lässt daran zweifeln, denn sie vermischt mit ihren immer seltener "festen" Arbeitsverhältnissen und immer seltener festen Arbeitszeiten und -orten beide Sektoren noch stärker. Dabei alles aus Sicht eines Unternehmens unter Kontrolle behalten zu wollen, müsste im Extremfall also auch den Wunsch nach Überwachung in Privatbereichen bedeuten, was glücklicherweise zum Scheitern verurteilt ist. Wieder ist es die gewachsene Sensibilisierung nach den Datenschutzskandalen von 2008, die darauf hoffen lässt, dass man hier 2009 vielleicht zu kreativeren und menschenfreundlicheren Konzepten kommt als bisher.
Lesen Sie mehr zum Thema
