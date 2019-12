In Zeiten von Big Data, Cloud und IoT, zählt die IT-Sicherheit für Unternehmen zu den dringlichsten Themen. "Auf Vorstandsebene gehört heute die Einbeziehung des IT-Risikos zum festen Bestandteil jeder Businessentscheidung", heißt es in einem Gartner-Report. Das ist nachvollziehbar. Denn nur mit sicheren Daten und Geschäftsprozessen lässt sich die digitale Transformation erfolgreich vorantreiben.

Bislang wird IT-Security hauptsächlich aus technologischer Perspektive betrachtet. Das zeigt sich unter anderem daran, dass ausgefeilte technische Methoden wie Penetration-Testing und Threat-Intelligence-Services immer öfter zum Einsatz kommen. Doch in Unternehmen fehlt leider an vielen Stellen ein ausreichendes Verständnis für die Sicherheitsprobleme der IT.

Security muss für jeden selbstverständlich werden

Inzwischen bieten Organisationen wie Bitkom, DEKRA etc. zwar Security-Seminare, die das Sicherheitsbewusstsein von Nutzern und Führungskräften schärfen sollen. Seminare bringen jedoch wenig, wenn IT-Sicherheit weithin nur als Bremser und Blockierer gilt. "Security darf nicht als zusätzliche Last verstanden werden, sondern muss ein integraler Bestandteil von all dem sein, was wir machen." So Fumbi Chima, die CIO der Adidas AG aus Herzogenaurach, in einem Interview mit Thomas Blood, Enterprise Strategist beim Cloud-Primus AWS.

Die IT-Chefin hat es geschafft, dass sich jeder bei Adidas seiner Security-Verantwortung bewusst ist. "Die Einstellung im Kopf der Mitarbeiter musste sich ändern, das war die größte Hürde, die wir nehmen mussten, um unsere Security-Maßnahmen auf eine neue Ebene zu stellen", erklärt Chima. Genau das ist der springende Punkt: Nur mit einer durchgängig überzeugten Security-Haltung und angepassten Prozessen lassen sich die heutigen Sicherheitsrisiken minimieren.

In einem E-Book wirft Mark Schwartz, Enterprise Strategist und Evangelist bei AWS, einen interessanten Gedanken auf: "Sicherheit ist eine Qualität. Sie gewährleistet, dass IT-Ressourcen auch unter realen Bedingungen so funktionieren wie vorgesehen - selbst bei Angriffen und unerwarteten Gegebenheiten." Deshalb lässt Schwartz auch nicht den häufigen Einwand gelten, dass es einen Kompromiss zwischen Security und Geschwindigkeit geben müsse. "Es gibt ja auch keinen Kompromiss von Qualität und Geschwindigkeit", lautet sein Argument.

In fünf Schritten zu mehr Sicherheit

Die häufigsten Sicherheitsbedenken der CISOs drehen sich AWS zufolge um Zugangsdiebstahl, SQL-Injections und Cross-Site-Scripting sowie mangelnde Software- bzw. Patch-Aktualität. Dabei gibt es viele einfache Methoden, mit denen man solche Vorfälle und Risiken minimieren kann. In seinem E-Book verweist Schwartz beispielhaft auf das Rugged Movement in der Software-Entwicklung. Diese Bewegung geht grundsätzlich von Folgendem aus: "[B]evor ein Code sicher gemacht werden kann, müssen erst die Entwickler selbst ertüchtigt werden. Angreifbarkeit ist das Ergebnis menschlicher Fehler, und wenn man die menschliche Einstellung verändert, wird Gutes folgen." Entsprechend liegt der Schlüssel zur Widerstandsfähigkeit, ob von Software oder IT-Systemen, in der Kultur eines Unternehmens. Schwartz sieht das ebenso und nennt fünf Schritte, mit denen Unternehmen ihre IT-Security verbessern können:

1. Verbinde die Sicherheit kontinuierlich mit den Einsatzzielen.

2. Füge Sicherheitsmaßnahmen in alles ein und korrigiere Fehler sofort.

3. Definiere Normen und hohe Standards für die Security-Hygiene.

4. Implementiere eine Null-Fehler-Vorgehensweise.

5. Überprüfe ständig die Security in der Software-Entwicklung und in der Produktionsumgebung.

Natürlich können diese Maßnahmen nicht garantieren, dass Sicherheitsvorfälle gänzlich ausbleiben. Denn wie in der realen Welt gilt auch in der virtuellen: Eine 100-prozentige Sicherheit gibt es nicht. Doch schon mit wenigen methodischen und kulturellen Veränderungen - flankiert von Security-Technologien - kommen Unternehmen in puncto IT-Sicherheit ein entscheidendes Stück weiter.

