IT-Sicherheit

Sechs Leitlinien für eine Security-Strategie

Karin Quack arbeitet als freie Autorin und Editorial Consultant vor allem zu IT-strategische und Innovations-Themen. Zuvor war sie viele Jahre lang in leitender redaktioneller Position bei der COMPUTERWOCHE tätig.
Das Thema IT-Security ist in aller Munde. Das heißt aber noch lange nicht, dass es die nötige Wertschöpfung im Topmanagement genießen würde. Bedeutet es doch viel Aufwand mit wenig sichtbaren Effekten. Hier sind sechs Tipps, wie sich eine effiziente Security-Strategie aufsetzen lässt.
Ein intelligente Security-Strategie sollte im Prinzip einfach sein.
Ein intelligente Security-Strategie sollte im Prinzip einfach sein.
Foto: Fotolia/PhotographyByMK

Zwischen der Omnipräsenz des Themas IT-Sicherheit und seiner Einschätzung durch das Topmanagement klafft eine Lücke. Für Christian Bücker, Geschäftsführer der Macmon Secure GmbH, resultiert sie nicht zuletzt daraus, dass die Security-Konzepte bis dato zu sehr auf Einzellösungen fokussiert sind. Zudem werde auf der Ebene der technischen Umsetzung zu kompliziert gedacht: "Wir müssen dieses Thema näher an die Menschen heranbringen, indem wir Sicherheitstechnik und -strategien einfacher, integrierter und im Ergebnis wirtschaftlicher gestalten." Ein "Umdenken" der Anwender sei notwenig. Aber wie soll das aussehen? Hierzu hat Bücker "sechs Leitlinien für intelligente Security-Strategien" entwickelt.

Integriert denken

Security-Planungen konzentrieren sich vielfach auf punktuelle Problemlösungen. Die Folge sind Insellösungen, die sich nur mit viel Aufwand zusammenführen lassen. Falls das Zusammenspiel wider Erwarten funktioniert, können sich an den Schnittstellen schwer auszumachende Sicherheitslücken verbergen. Zu einer intelligenten IT-Security-Strategie gehört deshalb ein übergreifend und integriert angelegtes Konzept. Das aktiviert, wie Bücker beteuert, "erhebliche Leistungspotenziale, die selbst bei konservativer Betrachtung in der Größenordung von über 50 Prozent liegen".

Integriert handeln

Man kann eine Security-Roadmap gesamtheitlich und integriert anlegen, aber das Ziel trotzdem verfeheln. Denn die elementaren Grundsätze dürfen sich nicht nur auf dem Papier, sondern müssen sich auch in der Umsetzung wiederfinden. Die eingesetzten Lösungen sollten sich, so Brücker, "durch ihr integratives Leistungsprofil charakterisieren". Konkret bedeute das beispielsweise, dass sich eine NAC-Lösung (Network Access Control) problemlos mit einer Antiviren-Software verbinden lasse. Zudem sollten die beteiligten Systeme fertige Schnittstellen für die softwaregestützte IT-Notfallplanung und andere komplementäre Security-Lösungen bieten.

Vorausschauend agieren

Neuen und sicherheitsrelevanten Phänomen gegenüber verhält sich das IT-Sicherheits-Management in der Praxis meist rein reaktiv. Aktuelle Beispiele dafür sind die Trends Mobility und ByoD (Bring your own Device). Beide haben sich schon seit geraumer Zeit angekündigt. Aber die Unternehmen beschäftigen sich erst seit kurzem mit den Security-relevanten Problemen. Diese reaktive Verhaltensweise birgt zumindest temporäre Risiken für die Unternehmensnetze, denn genutzt werden die mobilen Endgeräten ja bereits vor der Implementierung von Lösungen, die einen ausreichenden Schutz versprechen. Zu den Kernsätzen der Sicherheitskonzepte sollte deshalb die Antizipation gehören. Die Verantwortlichen müssen ihre Strategie mit Blick auf die künftigen Anforderungen kontinuierlich neu positionieren.

Einfachheit als Prinzip definieren

IT-Security-Themen genießen in den Chefetagen und im mittleren Management selten angemessene Akzeptanz. Erzeugen sie doch Investitionserfordernisse mit einem schwer zu konkretisierenden Wertbeitrag. Deshalb sollten Security-Strukturen, Auswahlentscheidungen für Security-Produkte, Prozessgestaltung, Administration und Betrieb der Security-Systeme dem Prinzip der Einfachheit folgen. Auf diese Weise wird das IT-Sicherheits-Management weniger aufwändig. Ein wesentlicher Nebeneffekt ist, dass die Topmanagement-Ebene so leichter Zugang zum Thema Security findet.

Benutzerorientiert ausrichten

Aus Sicht der Anwender ist der Umgang mit der IT-Sicherheit tendenziell lästig, weil aufwandsteigernd. Das kommt laut Bücker unter anderem daher, dass die Entwicklung der Security-Lösungen bisher dem Prinzip der "funktionalen Nutzenoptimierung" folgte. Fragen der Anwedungsfreundlichkeit seien dabei in den Hintergrund geraten. Doch das Benutzerverhalten stellt - besonders in den Zeiten der mobilen Endgeräte - einen wesentlichen Sicherheitsaspekt dar. Folglich müssen intelligente Security-Konzepte auf benutzerfreundliche Lösungen zielen. Dies hilft, die Akzeptanz seitens der User zu steigern, was wiederum das Sicherheitsniveau insgesamt positiv beeinflusst.

Investition mit Security-Vorbehalt

Es gibt praktisch keine technischen Modernisierungen in der IT, die frei von Sicherheitsaspekten wäre. Doch in den Investitionsentscheidungen der Unternehmen findet sich wenig davon - zumindest nicht grundsätzlich und in ausreichender Konsequenz. Allenfalls wird dieser Aspekt in späteren Implementierungsphasen berücksichtigt. Das hat insofern erhebliche Konsequenzen, sagt Bücker, als dadurch häufig nicht eben das günstigste Lösungskonzept zum Tragen komme. So steige der technische und personelle Aufwand zur Gewährleistung der Security-Bedingungen. Und das wiederum erweise der Akzeptanz des Sicherheitsthemas einen Bärendienst.