Startseite > Security > Viele IT-Sicherheitsstrategien sind veraltet

Mikado: Anpassung an die organisatorischen, technischen und rechtlichen Veränderungen fehlt

Viele IT-Sicherheitsstrategien sind veraltet

25. August 2014, 8:50 Uhr | LANline/jos

Nach den Erkenntnissen der Sicherheitsspezialisten von Mikado (www.mikado.de) sind viele Sicherheitsstrategien von Unternehmen und Behörden veraltet, weil sie nicht die fortlaufenden organisatorischen und technischen oder rechtlichen Veränderungen berücksichtigen. Wie Analysen des Beratungshauses zeigen, können dadurch Sicherheitsdefizite von weitreichender Bedeutung entstehen.

Die Untersuchungen weisen darauf hin, dass in den letzten Jahren in großer Zahl Unternehmen oft tiefgreifende Organisationsveränderungen durchgeführt haben. Deren Ursachen sind vielfältig und zielen beispielsweise darauf ab, schlankere Strukturen oder veränderte Arbeitsplatzmodelle mit Home Offices zu schaffen. Aber auch mit Mergern, Fusionen oder Dezentralisierungen mit Aufbau regionaler Standorte gehen typischerweise Reorganisationen einher.

„Der Fokus richtet sich dabei aber im Regelfall vornehmlich auf die Gestaltung der Betriebs- und Geschäftsprozesse. Die damit einhergehende veränderte Sicherheitssituation wird jedoch meist gar nicht oder nur unzureichend mit bedacht“, erklärt Robert Hellwig, IT-Security-Analyst bei Mikado. Als Folge würden die ursprünglichen Sicherheitsstrategien nicht mehr den tatsächlichen Anforderungen entsprechen. Auch deutliche Verletzungen der Compliance-Vorschriften könnten damit einhergehen.

Ähnliche Effekte entstehen nach den Untersuchungen des Beratungshauses durch die Nutzung neuer Techniken wie Mobile Devices oder Cloud Computing. „Aktuelle Studien zeigen beispielsweise, dass über die Apps auf den Smartphones der Mitarbeiter ebenso wie von den Online-Archiven erhebliche Sicherheitsgefahren ausgehen können“, so Hellwig.

Doch in den Sicherheitsstrategien finde häufig weder das Mobile-Device-Management noch das Cloud Computing einen adäquaten Niederschlag. Dabei seien dies nur zwei besonders populäre Themen mit Blick auf die Informationssicherheit, auch von anderer technischen Seite würden kontinuierlich neue Anforderungen mit Konsequenzen für die IT-Security-Strategien entstehen.

„Da sich an dieser Entwicklung der internen wie äußeren Einflüsse kaum etwas ändern lässt, sind Methoden einer kontinuierlichen Anpassung notwendig“, betont Hellwig. Mikado hat deshalb ein Verfahren entwickelt, mit dem sich die Sicherheitsstrategie dynamisch weiterentwickeln kann, indem sie fortlaufend die veränderlichen Bedingungen berücksichtigt.

Dabei werden nicht nur die Leitlinien regelmäßig angepasst, sondern die Veränderungen auch in den entsprechenden Prozessen und Verantwortlichkeiten abgebildet. Realisiert werde dies nach Methoden der Kontinuierlichen Verbesserung, die auch gleichzeitig eine schlanke Realisierung der möglichen Prozessanpassungen und weiteren Maßnahmen umfassen.

Solche Verfahren seien jedoch nicht notwendig, wenn ein zertifiziertes Management-System nach der internationalen Norm ISO/IEC 27001 besteht. Dort kommt ein möglicher Handlungsbedarf laut Mikado bei den jährlichen Pflicht-Audits zwangsläufig zutage.

Doch erst wenige und hauptsächlich nur größere Organisationen haben dieses System implementiert, allerdings erwartet der IT-Security-Analyst für die nächsten Jahre eine deutlich stärkere Verbreitung. „Weil inzwischen auch Branchenverbände ISO-27001-konforme Verhältnisse empfehlen und im Fall der Energieversorger diesbezüglich sogar politische Vorgaben bestehen, werden Management-Systeme für die Informationssicherheit nach dieser Norm zunehmend zu einer Selbstverständlichkeit werden“, erwartet er und ergänzt: „Selbst im Mittelstand wird ISO 27001 bald ein sehr akzeptiertes Thema sein.“