IT-Sicherheit: Es muss etwas passieren

Doch wer so denkt, sollte langsam aufwachen. Jeder will Technologie nutzen um neue Ertragsquellen zu erschließen, die Produktivität zu steigern und die Kosten zu senken. Neue Systeme mögen zwar die gewünschten geschäftlichen Ergebnisse bieten, aber wenn sie über das Internet miteinander verbunden sind, kann es unterwegs ganz schön gefährlich werden. In der heutigen über das Internet miteinander verknüpften Welt bleibt einem gar nichts anderes übrig, als in die Sicherheit zu investieren – da führt kein Weg dran vorbei. Wer an der Sicherheit spart, setzt nicht nur leichtfertig seine Firma aufs Spiel, sondern auch seine Karriere.

Das soll nicht heißen, dass CEOs Blankoschecks ausstellen sollten. Sicherheits-Budgets und Maßnahmen müssen in Relation zu Risiken und Werten im Unternehmen gesehen werden. Das bedeutet, dass sich die IT-Abteilung von der Vorstellung verabschieden muss, Sicherheit könne man als fertige technische Lösung kaufen. Vielmehr muss die grundlegende Sicherheit geschäftskritischer Anwendungen und Geschäftsprozesse untersucht werden, so dass man daraus ein vernünftiges Budget für Schutzmaßnahmen ableiten kann.

Dabei beginnt man am besten mit der wichtigsten und grundlegendsten Sicherheitsanalyse: Welches sind die potentiellen Bedrohungen? Und welche Auswirkungen hätte es auf das Unternehmen, wenn dieses System angegriffen würde? Damit kann man die Prioritäten festlegen, wo man am besten anfängt. Als Nächstes sollte man sich gründlich mit einem Sicherheitsrisiko-Profil befassen: Wer sollte Zugang zu wichtigen Systemen haben? Wer braucht eine Internet-Verbindung? Wie sehen die Vertrauensverhältnisse zwischen Systemen und Anwendungen aus? Wie sollten sich die Systeme verhalten?

Sobald die IT-Abteilung einen Sicherheitsplan entwickelt hat, der geschäftskritische Anlagen umfassend schützt, ist es viel einfacher, die Risiken der jeweils bestehenden Situation und die Kosten für angemessene Sicherheitssysteme gegeneinander abzuwägen. Wenn man sich erst einmal über die Prioritäten geeinigt hat, kommt es auch schnell zu Entscheidungen in Bezug auf Kennzahlen und Budgets, da man schließlich keine Zeit zu verlieren hat.

Es klingt vielleicht wie Panikmache, aber MyDoom ist nur der jüngste Beweis, dass zuverlässige IT-Sicherheit zu einer neuen Realität für die Unternehmen geworden ist. CEOs müssen entsprechende Bemühungen fordern und finanzieren, während sich die IT-Abteilungen um den Entwurf und Betrieb von Sicherheitssystemen kümmern müssen. In dem Maße, wie Innovationen wie Wireless, Nanotechnologie und IPv6 Potential und Reichweite von IT erweitern, werden auch die Sicherheitsanstrengungen immer komplexer und teurer werden.

Und nicht zuletzt sollte man die finanziellen Konsequenzen nicht unbeachtet lassen: Unternehmen, die sich rechtzeitig um ihre Sicherheitsbelange kümmern, verringern ihre Risiken. Unternehmen, die dagegen zu spät oder gar nicht handeln, werden die Nachteile zu spüren bekommen: häufige Unterbrechungen des Geschäftsbetriebs, Verfall des Aktienkurses und unvermeidliche Gerichtsverfahren.