Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Security > Wie falsche Prioritäten zum Gau führen können

IT-Sicherheitsvorfälle

Wie falsche Prioritäten zum Gau führen können

10. Dezember 2012, 11:32 Uhr | Elke von Rekowski
Viele Unternehmen sind nicht optimal auf IT-Sicherheitsvorfälle vorbereitet (Foto: seen - Fotolia.com).

Beim Umgang mit IT-Sicherheitsvorfällen müssen Unternehmen offenbar umdenken. Denn viele Firmen beschäftigen sich zu sehr mit den Symptomen eines Zwischenfalls und vernachlässigen dabei die Ursachen.

Zudem haben Unternehmen zwar kaum Schwierigkeiten, die unmittelbaren und offensichtlichen Kosten eines Sicherheitsvorfalls zu bestimmen. Strategien für die Bewertung der langfristigen und immateriellen Schäden fehlen jedoch häufig, wie der Report des Information Security Forums (ISF) hervorhebt. In dem Report »You Could Be Next« für den Umgang mit IT-Sicherheitsvorfällen und Cyberattacken gibt die Non-Profit-Organisation Unternehmen Handlungsempfehlungen für die Bestandaufnahme sowie die Ursachenanalyse bei einem Sicherheitsvorfall.

Demnach setzen viele Organisationen bei ihren Sicherheitsinvestitionen falsche Prioritäten. So liegt vielfach ein zu starker Fokus auf »Schwarzen Schwänen«, also höchst unwahrscheinlichen Ereignissen mit gravierenden Auswirkungen. Das kann von vordringlichen Sicherheitsmaßnahmen und wahrscheinlicheren Ereignissen ablenken.

Eine gute Sicherheitsstrategie sollte sich nach Möglichkeit auf fünf bis sieben Risikoszenarien beziehen, damit sie breit aufgestellt ist. Auch bereits stattgefundene Zwischenfälle sollten in das Risikomanagement mit einfließen, da es auf diese Weise »lernt«. Dennoch ist diese Bestandsaufnahme nach Sicherheitsvorfällen und die Anpassung der Strategie in der Praxis der am schwächsten ausgeprägte Teil des Schadenmanagements.

Zu bedenken gilt es außerdem, dass Sicherheitszwischenfälle weitaus mehr als die unmittelbar erkennbaren Kosten verursachen. Viele Unternehmen sind sich dem Report zufolge jedoch der Folgekosten nicht bewusst. Sie bedenken nicht, dass ein schlechtes Schadensmanagement zusätzlich Verluste nach sich ziehen kann, die weit über die direkt mit dem Vorfall in Verbindung stehenden Kosten hinausgehen.

»Schwerwiegende Sicherheitsvorfälle lassen sich nicht vollständig vermeiden. Viele Unternehmen haben eine funktionierende Strategie zur Bewältigung der unmittelbaren Folgen. Häufig fehlt ihnen aber eine strukturierte Vorgehensweise für die Analyse der Ursachen eines Angriffs und der Adaption ihrer Strategie. Dadurch nehmen sie unnötige Risiken und Kosten in Kauf«, sagt Michael de Crespigny, CEO des ISF. Ohne adäquate Bewertung der Folgen sei jedoch nicht klar, welche langfristigen oder mittelbaren Kosten wie zum Beispiel Imageschäden ein Sicherheitsvorfall für die Unternehmen verursache. Eine kostenlose Kurzfassung des Reports ist auf der Website des ISF erhältlich.

Jetzt kostenfreie Newsletter bestellen!

Matchmaker+
comTeam Systemhaus GmbH

comTeam Systemhaus GmbH
WatchGuard Technologies

WatchGuard Technologies
Vodia Networks GmbH

Vodia Networks GmbH
Softing IT Networks GmbH

Softing IT Networks GmbH
SIM-Networks (Netversor GmbH)

SIM-Networks (Netversor GmbH)
nexspace data centers GmbH

nexspace data centers GmbH