Gekürzte IT-Etats und reduzierte Mannschaften machen es Security-Managern nicht leichter, den steigenden Anforderungen an die IT-und Informationssicherheit gerecht zu werden. So will das Topmanagement heute genau wissen, ob die in Schutzmaßnahmen investierten Mittel richtig bemessen sind. Mehr denn je sehen sich IT-Sicherheitsverantwortliche daher gezwungen, jeden Cent, den sie ausgeben, zu rechtfertigen, und exakt aufzuzeigen, inwieweit diese Investitionen dazu beitragen, die Gefahren für das Geschäft einzudämmen. "Jede Security-Ausgabe wird mittlerweile von der Finanzabteilung überprüft", weiß Eric Domage, Research Manager Security bei IDC. Chief Security Information Officers (CISOs) sollten sich den Controller demnach zum Freund machen - und lernen, mit ihm zu kooperieren.
- Big Brother
Mit Videokameras lassen sich alle sicherheitsrelevanten Räume in einem Unternehmen überwachen. (Quelle: Unisys) - All-in-One
Ein optimaler Zutrittsschutz beinhaltet alle wichtigen Räume und Gebäudeteile eines Unternehmens. (Quelle: Novar) - Raumüberwachung
Moderne Videosysteme können vordefinierte Gefahrensituationen erkennen und einen entsprechenden Alarm auslösen. (Quelle: Unisys) - Alles im Blick
Das elektronische Auge registriert alle ungewöhnlichen Bewegungen und schlägt Alarm. (Quelle. Unisys) - Zutrittssystem
Ein biometrisches Zugangskontrollsystem besteht aus mehreren unterschiedlichen Komponenten. (Quelle: Unisys) - Bitte eintreten
Personenvereinzeler und ein 3D-Gesichts-Scan verhindern den Zutritt von unerwünschten Besuchern. (Quelle: Unisys) - Kein Zutritt
Personenvereinzeler und ein 3D-Gesichts-Scan verhindern den Zutritt von unerwünschten Besuchern. (Quelle: Unisys) - RFID-Spion
Mithilfe der RFID-Technologie lassen sich Bewegungen von Personen, Geräten und Fahrzeugen kontrollieren. (Quelle: Unisys) - Tracking
Ein Backup-Band, versehen mit einem RFID-Tag, kann jederzeit lokalisiert und identifiziert werden. (Quelle: Unisys) - Alles oder nichts
Aller Bestandteile eines ausgeklügelten Sicherheitssystems müssen fehlerlos zusammenarbeiten. (Quelle: Unisys) - Schaltzentrale
Alle verwendeten Sicherheitssysteme sollten zentral über eine geeignete Software kontrolliert und verwaltet werden. (Quelle: Unisys) - Maximale Sicherheit
Die Kombination aus RFID-Technologie und biometrischer Zutrittskontrolle ergibt einen maximalen Schutz vor unbefugten Besuchern. (Quelle: Unisys)
Doch wie sicher ist sicher genug? Das punktgenau zu benennen ist ein komplexes, wenn nicht unmögliches Unterfangen. Für Carsten Casper, Research Director Information Security, Risk & Compliance bei Gartner, ist schon die Frage verfänglich: "Sie suggeriert, dass es eine Kenngröße - etwa eine Zahl zwischen 0 und 100 - gibt, an der ein Unternehmen das eigene Security-Niveau ablesen könnte." Auch IDC-Mann Domage hat hierauf keine eindeutige Antwort: "Es gibt nur Richtlinien und Standards, die dem CIO eine Vorstellung davon geben, ob er in Sachen IT-Sicherheit auf dem richtigen Weg ist." In Kennzahlen sei der jeweilige Status jedoch nicht auszudrücken. Nur Security-Vorfälle lieferten Anhaltspunkte über Lücken. "Aber genau diese will ja man vermeiden."
Patentrezepte gibt es nicht
Ob und wann das Sicherheitsniveau angemessen ist, hängt für Khalid Kark, Principal Analyst bei Forrester Research, primär von der Organisation und Branche des Unternehmens ab: "Entscheidend ist dabei, wie wichtig bestimmte Security-Funktionen für das Business des Unternehmens sind." Wer also auf ein Patentrezept hofft, wird enttäuscht: Ein allgemein gültiges Musterverfahren gibt es angesichts der heterogenen Gegebenheiten in Unternehmen nicht. Erschwerend hinzu kommt die kurze Halbwertszeit von IT-Techniken und -Bedrohungen, so dass das Prädikat "sicher genug" allenfalls temporär gültig ist. Die Konzentration auf gewisse Schlüsselbereiche kann Unternehmen jedoch helfen, sich einer Antwort zu nähern. Zu den Kernaspekten, mit denen sich IT-Sicherheitsverantwortliche aus Gartner-Sicht bei der Ermittlung der schwer greifbaren und flüchtigen Kenngröße "Due Care" in Sachen IT-Security auseinandersetzen müssen, zählt zunächst der jeweilige Stand der Sicherheitstechnik.
Was ist Standard, was nice to have?
"Im Prinzip geht es beim Thema IT-Sicherheit - im Gegensatz zur Informationssicherheit - um Techniken", stellt Gartner-Experte Casper klar. Um zu ermitteln, ob die eigene Organisation diesbezüglich angemessen gerüstet ist, müssten Firmen über den Reifegrad der verfügbaren Security-Lösungen im Bild sein und beurteilen können, welche bereits gut etabliert sind und welche "gerade erst aus dem Silicon Valley herüberschwappen". So handle es sich bei Firewall und Virenschutz um altbewährte Techniken, die jede Organisation implementiert haben sollte, während etwa das Thema Data Leakage Prevention (DLP) noch in den Kinderschuhen stecke. Eine Gartner-Faustregel: Die sichersten Investitionen, um ein angemessenes Maß an IT-Sicherheit zu gewährleisten, sind Ausgaben für Techniken, die bereits ein halbwegs vernünftiges Mainstream-Niveau erreicht haben.