Transparenz schaffen!Lehren aus der <kes>/Microsoft-Sicherheitsstudie

Ordnungsmerkmale

erschienen in: <kes> 2008#6, Seite 72

Rubrik: Management und Wissen

Schlagwort: <kes>/Microsoft-Sicherheitsstudie 2008

Zusammenfassung: Auch in diesem Jahr hat die <kes>/Microsoft-Sicherheitsstudie neue Trends und Veränderungen im Bereich der IT-Sicherheit im deutschsprachigen Raum identifiziert. Unser Autor benennt für den Hauptsponsor Microsoft Folgerungen aus den Ergebnissen.

Autor: Von Tom Köhler, Unterschleißheim

Trotz eines Rückgangs nennenswerter Beeinträchtigungen von Viren, Würmern und Trojanern in der Schadensstatistik haben die 144 Teilnehmer der <kes>-Microsoft-Sicherheitsstudie in diesem Jahr Malware als größtes Risiko klassifiziert. Hintergrund ist nicht zuletzt die stark zunehmende Gefährdung durch mobile Datenträger – speziell von schadcodebefallenen USB-Sticks. Bedenklich stimmt: Schon immer galt "Irrtum und Nachlässigkeit eigener Mitarbeiter" als Spitzenrisiko und auch in diesem Jahr bleibt der Faktor Mensch im Fadenkreuz der Befragten. Gleichzeitig zeigt sich eine signifikante Zunahme von Vertraulichkeitsbrüchen, die mit Daten- und Imageverlust einhergehen. Als Hauptursache für unbefugte Zugriffe auf schutzwürdige Daten wird der Verlust oder Diebstahl mobiler Datenträger ausgemacht.

In diesem Zusammenhang rückt die hohe Komplexität sowie die intensive Vernetzung von Unternehmen in den Vordergrund. Eine große Sorge der Firmen stellen zudem Datenschutzverletzungen dar, die sich unmittelbar negativ auf die gesamte Struktur auswirken. Daher muss der Kommunikation über IT-Risiken zwischen Technikern und Hauptentscheidungsträgern in den Firmen mehr Raum geschaffen werden. Gerade in diesem Punkt zeigt die aktuell vorliegende Studie jedoch ein historisches Tief bei der Unterstützung von IT-Verantwortlichen durch das Top-Management. Es bleibt abzuwarten, ob straffere gesetzliche Vorschriften und Regelwerke in Zukunft dafür sorgen, dass IT-Verantwortliche und Entscheider enger zusammenrücken.

Gefahr erkannt

Unternehmensinformationen sind per se als kritisch zu betrachten. Aber nur wer seine Risiken wirklich kennt, ist in der Lage effiziente Vorbeugung zu leisten. Um eine Balance zwischen maximaler Unternehmenseffizienz und minimalen IT-Risiken zu ermöglichen, hat sich in den vergangenen Jahren das Schlagwort IT-Governance etabliert: IT-Governance fordert eine an den Bedürfnissen des Kerngeschäfts ausgerichtete IT, die durch den Einsatz verschiedener Methoden wie Performance-Measurement, Information-Risk-Management und strategischem IT-Management geführt wird.

Insbesondere IT-Risk-Management ist ein Bereich, der in einer wachsenden Zahl von Unternehmen adressiert und größtenteils auch gut abgedeckt wird. Die Ursache dafür findet sich in den umfangreichen Aktivitäten eines auf Sicherheit und Revision spezialisierten Branchensegments. Wobei in diesem Zusammenhang anzumerken ist, dass – analog zur Nutzung anderer Technologie – auch durch den Einsatz von Informationsverarbeitung immer aufs Neue Gefahrenquellen und Risikopotenziale auftreten.

Information-Risk-Management (IRM) ist keine pauschale, sondern eine unternehmensspezifische Tätigkeit, weil die Risiken eines Betriebs im Wesentlichen von seiner Geschäftstätigkeit abhängen. Rechtlich betrachtet ist IRM ein wesentlicher Bestandteil der Umsetzung von Vorschriften und Compliance-Regelwerken wie beispielsweise Basel II, dem Sarbanes-Oxley-Act (SOA), dem Gesetz für Kontrolle und Transparenz im Unternehmensbereich (KonTraG) oder der Information Technology Infrastructure Library (ITIL). Jede Verletzung dieser Gesetze, Vorschriften und Normen kann für Firmen wirtschaftliche Folgen nach sich ziehen – in manchen Fällen mit weniger starken, in anderen mit existenzbedrohenden Sanktionen. Nicht alleine deswegen benötigt ein Unternehmen Prozesse und Strukturen, anhand derer Entscheidungsträger in der Lage sind, Risiken effektiv zu erkennen und zu vermeiden.

Im Allgemeinen reicht es dabei aber längst nicht aus, Unternehmensrichtlinien nur vorzugeben oder zu beschreiben. Regelwerke müssen im Unternehmen aktiv gelebt sowie bewusst umgesetzt werden und zwar von allen – das umfasst ausdrücklich auch das Top-Management. Meist werden IT-Investitionen erst a posteriori, also nach dem Verlust vertraulicher Firmeninterna getätigt. Doch wer sich a priori mit der Risiko- und Gefahrenlage in seinem Unternehmen auseinandersetzt, lernt nicht nur die Wertigkeit einer funktionierenden IT-Struktur zu schätzen, sondern diese auch einzuschätzen.

Prinzipiell sind alle Sicherheitsprojekte und -ressourcen Teil des Portfoliomanagements und unterliegen verschiedenen Präferenzmechanismen. Ferner ist ein möglichst umfassendes und aktualisiertes Portfolio eine fundierte Basis für die Umsetzung einer Risikoanalyse: Denn nur wer seine Ressourcen tatsächlich im Blick hat, ist in der Lage, mögliche Schäden zu identifizieren. Zudem gilt es Messbarkeitskriterien zu entwerfen, sinnvolle Messgrößen vorzugeben und in die Steuerungssysteme zu integrieren. Bei aller Akkuratesse darf dabei nicht vergessen werden, dass auch Sicherheitsinvestitionen Teil des Risk-Managements sind und keinen direkt messbaren Return-on-Investment (ROI), sondern nur mittelbaren Geschäftsnutzen erzeugen.

Aufklärung ist ein Muss

Um maximale Sicherheit im Unternehmen zu gewährleisten und den Weg nach vorn zu gehen, empfiehlt Microsoft den nachhaltigen Aufbau von "End-to-End Trust": Die Arbeit mit dem Internet gehört nicht nur in der Wirtschaft zum täglichen Geschäft. Daher liegt es an uns, ein Umfeld zu schaffen, das den umfassenden und vertrauensvollen Bezug von Informationen auf einer sicheren Basis gewährleistet. Ein skalierbares Zugriffsrechtemanagement gepaart mit einer sicheren Authentifizierung sind hier die Kernelemente.

Risiken müssen substanziell bekämpft und vermindert werden. Nur ein starkes Vertrauen der Öffentlichkeit in das Internet gewährleistet einen integrierten Schutz! Die Security-Branche wiederholt zu Recht gebetsmühlenhaft die mehr oder weniger real existierenden Risiken der Informationstechnik: Denn bis in die späten neunziger Jahre hinein entstanden informationstechnische Verfahren und Plattformen fast ausschließlich mit Blick auf neue Funktionalität und unter Vernachlässigung von Sicherheitsaspekten, die heute mühselig nachgerüstet werden müssen. Und der in der Not oft unkoordinierte nachträgliche Einbau von "Airbags" hat die Komplexität der Systeme teils noch weiter erhöht.

Fazit

Leider kann man über die letzten 10 Jahre objektiv keine wesentlichen Fortschritte in der Informationssicherheit konstatieren. Geringfügig verbessert hat sich hingegen der Umgang mit Projektrisiken, die sich durch ein verbessertes Management verringern, aber noch lange kein Niveau erreicht haben, das dem Vergleich mit anderen Wertschöpfungsbereichen oder Industrien standhält.

Somit lautet eine wesentliche Folgerung aus der <kes> Microsoft Sicherheitsstudie "offener Umgang": Die Aufklärung über Risiken ist keine Option, sondern ein Muss. Dazu muss in den Unternehmen auch das Sicherheitsbewusstsein gefördert werden, insbesondere beim Top-Management. Daneben besteht die Notwendigkeit eines interdisziplinären Diskurses, der sämtliche gesellschaftliche Bezugsgruppen integriert und eine effektive IT-Governance sowie eine nachhaltige End-to-End-Trust-Lösung ermöglicht und den "Faktor Mensch" aus dem Fadenkreuz des Misstrauens rückt.

Tom Köhler ist Director Information Strategy & Communication bei der Microsoft GmbH.