Automatisierung ist nicht alles

Warum IT Security mehr als Chefsache ist

26.09.2017
Von 


Vor der Gründung von EgoSecure im Jahr 2007, war der Diplom-Informatiker Sergej Schlotthauer über 10 Jahre bei großen deutschen Software- und Dienst­leistungs­unternehmen der Medien­branche in führenden Management­positionen tätig.

Schlotthauer schreibt in erster Linie zu den Themen IT-Sicherheit, Datensicherheit und Datenschutz. In den letzten Jahren veröffentliche er zahlreiche Fachbeiträge in verschiedenen Fachmagazinen. Außerdem unterhält er mit „Egosecure Expert“ einen eigenen Blog.
Das Bewusstsein für IT-Sicherheit steigt - in der Tat ist das Thema in den Chefetagen deutscher Unternehmen angekommen. Diese Entwicklung ist allerdings nicht nur positiv.

Führungskräfte stehen unter Zeitdruck: die EU-Datenschutzgrundverordnung (DSGVO) nähert sich mit großen Schritten - die Zeit zum Handeln wird für Unternehmen langsam aber sicher knapp. Zusätzlich verschärft sich die Bedrohungslage durch Ransomware und organisierte Cyberkriminalität weiter. Die volle Härte dieser Entwicklung trifft allerdings nicht das C-Level, sondern die IT-Fachkräfte, die für die praktische Umsetzung verantwortlich sind. Natürlich ist es wichtig, dass Prinzipien wie Security-by-Design bei grundlegenden, unternehmerischen Entscheidungen eine Rolle spielen, allerdings wird dabei leider allzu häufig die angespannte Lage in den IT-Abteilungen übersehen.

IT-Sicherheit ist mehr als Chefsache.
IT-Sicherheit ist mehr als Chefsache.
Foto: Gorodenkoff - shutterstock.com

KI ersetzt keine Security-Fachkräfte

In den meisten Organisationen arbeiten Administratoren und andere IT-Angestellte am Limit. Neueinstellungen sind schwierig, denn die Situation auf dem Arbeitsmarkt ist angespannt - speziell im Bereich IT-Sicherheit: Im Rahmen der Global Security Workforce Study aus dem Jahr 2015 wurden über 19.000 Experten weltweit nach ihrer Situation befragt. Die Ergebnisse belegen, dass 70 Prozent der Unternehmen in der DACH-Region nicht über genügend Personal verfügen, um ihren eigenen Sicherheitsansprüchen gerecht zu werden. Diese Situation hat sich bis heute weiter zugespitzt.

Es ist schwierig auf dem Arbeitsmarkt weitere Sicherheitsexperten zu rekrutieren, deshalb brauchen IT-Abteilungen die richtigen Werkzeuge, um bei gleichem Personaleinsatz mehr leisten zu können. Um die Effizienz von Arbeitsprozessen zu erhöhen, ist eine Automatisierung von Sicherheitsprozessen unausweichlich. Weil aber diese Thematik so kritisch ist, sollte das Vorgehen immer auf Angestellte und Nutzer zugeschnitten sein - die Akteure unterhalb der Führungsebene müssen miteinbezogen werden.

Das Thema Automatisierung ist nicht unproblematisch: In der Vergangenheit haben Administratoren wahrscheinlich schlechte Erfahrungen bei der Implementierung von neuen Tools und Software-Systemen gemacht, die eigentlich vieles einfacher machen sollten. Gerade, wenn Entwicklung und Support eines Vendors nicht richtig auf den deutschen Markt zugeschnitten sind, kommt es schnell zu Komplikationen. Die Folge sind Nutzerbeschwerden, Verzögerungen bei Implementierungen, hohe Schulungskosten und Ähnliches. Allerdings gibt es heutzutage Ansätze, die genau diesen Problemen Rechnung tragen und zudem für Entlastung sorgen.

Ein erster wichtiger Schritt ist die automatische Aufarbeitung von bestehenden Sicherheitsinformationen. Dadurch haben IT-Abteilungen zu jederzeit ein Bild der Lage und ersparen sich lange Recherchearbeit. Weitere Erleichterung schafft dann die intelligente Analyse der Fakten. Dabei betrifft Automatisierung das Erkennen von Anomalien und den Abgleich mit den Normwerten. Dadurch haben die Administratoren den Blick für das Wesentliche und werden nicht mehr mit einem Berg von falschen Alarmen überhäuft.

Bei allen automatisierten Vorgängen darf der Mensch aber nie die Kontrolle verlieren und der Künstlichen Intelligenz (KI) blind vertrauen. KI kann niemals die Erfahrung und Kompetenz einer IT-Fachkraft ersetzen. Automatisierungstools liefern bessere Einsicht in Vorgänge, müssen aber gleichzeitig transparent arbeiten und dürfen keine relevanten Informationen außen vor lassen.

C-Level & IT-Fachkräfte: Das Beispiel DSGVO

Die DSGVO ist ein gutes Beispiel, um die unterschiedlichen Rahmenbedingungen von Strategie und Ausführung darzustellen. Im Artikel 32 der DSGVO spricht die EU sich für den Einsatz von Verschlüsselungsverfahren aus. IT-Entscheider würden zügig eine Prüfung von Assets veranlassen und ihre Sicherheitsverantwortlichen damit beauftragen, kritische Informationen und persönliche Daten zu verschlüsseln.

In der Praxis betrifft das Thema Kryptografie aber gleich mehrere Arbeitsbereiche: Cloud, mobile Endgeräte, einzelne Daten und Ordner, Festplatten und andere Speicherträger, E-Mails und Netzwerkverkehr stellen alle unterschiedliche Anforderungen an die Verschlüsselung. IT-Administratoren müssen unter Zeitdruck die einzelnen Teile absichern und entsprechende Policies durchsetzen - ohne dabei die Nutzerfreundlichkeit zu beeinträchtigen.

Ohne Unterstützung durch Automatisierungs-Lösungen ist die Aufgabe nicht zu bewältigen. Eine strategische Aufgabe wie die Compliance mit der DSGVO führt ohne passende Tools zu überlasteten Mitarbeitern und frustrierten Nutzern. Gleiches gilt bei der Auditierung: Dort ändern sich die Voraussetzungen ebenfalls. Der Artikel 34 der EU-DSGVO erläutert hier die Rahmenbedingungen. Ein Monitoring in Eigenregie ist allerdings aufwendig und bedeutet ohne technische Unterstützung zusätzlichen Aufwand.

Es ist noch zu früh von Best Practices beim Thema Automatisierung und DSGVO zu sprechen. Allerdings bewähren sich zentrale Verwaltungsansätze, mit der sich Sicherheits-Ereignisse genau analysieren lassen. Im Idealfall kommen die einzelnen Sicherheits-Tools aus einer Hand und folgen einem ineinandergreifenden Prinzip, um mögliche Bedrohungen gleich von mehreren Seiten entgegenzuwirken.

Fazit: Kritisch prüfen, IT-Abteilung einbeziehen

Fast alle Unternehmen erweitern ihre Sicherheitsmaßnahmen und haben gleich mehrere Schutzmechanismen integriert. Die Datenschutzgrundverordnung ist eine von vielen Herausforderungen und IT-Abteilungen haben im Laufe der Zeit immer mehr Werkzeuge in ihr Sicherheitsportfolio aufgenommen. Dieser Schritt ist grundsätzlich zu begrüßen, denn durch den technischen Fortschritt gibt es keine Universalwaffe für IT-Sicherheit.

Trotzdem birgt diese Entwicklung auch Risiken: Durch den Wettbewerb werden Produkte auf den Markt geworfen, die nicht ausgereift sind oder nicht auf die Marktanforderungen passen. Gerade Sicherheits-Tools, die ursprünglich für Vorgaben und Datenschutzrichtlinien im Ausland entwickelt wurden, entsprechen oft nicht den Erwartungen. Konkret sollten Unternehmen bei Sicherheitslösungen immer nach Referenzen des Herstellers fragen: Nur weil ein Produkt Compliance und Sicherheit verspricht, muss das nicht heißen, dass es auch für Ihren Use Case geeignet ist. Nicht zuletzt sollten die Belange der IT-Abteilung - beziehungsweise der Belegschaft - ebenfalls in die Security-Strategiefindung einfließen. (fm)