Unabhängig davon, welchen Status Sie in der Informationssicherheit erreicht haben, gibt es immer einen nächsten Schritt zu tun, da sich das Umfeld und die Technologie ständig ändern.
Wir bezeichnen Die Informationssicherheit als das "Unendliche Spiel", warum?
Aus anderen Lebensbereichen außerhalb der IT (z.B. Management, Militär) können wir Erkenntnisse und Strategien zum Thema Informationssicherheit lernen und nutzen, um Lösungen zu verstehen und zu finden, daher zitieren wir den Autor Simon Sinek ("The Infinite Game: How Great Businesses Achieve Long-Lasting") und adaptieren seine Ideen für ein erfolgreiches Unternehmen in den Bereich der Informationssicherheit.
Es wird zwischen "endlichen" Spielen (z.B. Fußball mit klaren Regeln, definierten Teilnehmern, Spielfeld, Dauer und einem klaren Ziel) und "unendlichen" Spielen unterschieden. Im "unendlichen" Spiel sind weder die Anzahl der Teilnehmer, noch das Ende, noch die Regeln, nach denen das Spiel gespielt wird, festgelegt. Auch die Ziele sind unklar, es gibt kein "Endspiel", jeder Teilnehmer definiert sein Ziel für sich. Vielleicht haben Sie Ziele wie "mitmachen", "Geld verdienen", "Industriespionage", "Konkurrenten stören", der "Erste" sein, "Langeweile bekämpfen" oder einfach "überleben". Der Vorsprung eines einzelnen Spielers ist nicht dauerhaft; sein Status wechselt ständig zwischen "vor den anderen" und "hinten".
In der Informationssicherheit ist es analog
Es gibt keinen Anfang und kein Ende, es gibt keine Grenzen, angefangen vom Werksgelände bis zum Homeoffice des Mitarbeiters, keine physischen Grenzen sind relevant. Der Diebstahl oder die Manipulation von Daten, die oft rein physisch waren, wird durch die Konnektivität zum Internet multipliziert. Zu den Bedrohungen aus dem Internet gehören Malware wie Computerviren, Keylogger, Trojanische Pferde, Phishing-E-Mails und andere Angriffe von Hackern, Crackern oder Skriptkindern. Die Cloud eröffnet den Akteuren völlig neue Möglichkeiten. Die Spieler verändern sich, von einzelnen Hackern über Industriespionage mit professionellen Teams aus jedem Land (Russland, China usw.) bis hin zu staatlichen Eingriffen von Geheimdiensten oder Behörden oder Umweltaktivisten.
Weitere Trends, wie die Digitalisierung mit immer mehr Softwarelösungen in allen Lebensbereichen, erweitern die Ansatzpunkte für Dritte, erschweren das Schließen von Schwachstellen oder behindern – rein zahlenmäßig – das Patch-Management für Updates (z.B. Microsoft Exchange) mit sicherheitsrelevanten Verbesserungen.
Die Verbreitung des Internets ist ein gutes Beispiel dafür. Die Anfänge eines einst geschlossenen Nutzerkreises auf universitärer Ebene, dann ein internationales Netzwerk für redundanten Betrieb und gemeinsame Nutzung von Computerressourcen, heute ein weltweites Netzwerk mit globaler Bedeutung, das man sich nicht mehr vorstellen kann!
Es ist auch wichtig, ein Gleichgewicht zwischen Sicherheit und der Fähigkeit, schnell zu arbeiten und sich anzupassen, zu wahren. Darüber hinaus sind Compliance und Business Continuity wichtige Aspekte für die Existenz des Unternehmens. Doch es geht nicht nur um DIE IT, sondern um die gesamte Informationssicherheit, IT-Sicherheit gehört zu jeder Planung und Maßnahme in der IT und ist grundlegend für die Compliance im Unternehmen. Letztlich geht es um das Ziel der Resilienz im Unternehmen für den Bereich der Informationssicherheit. Nur wenn ich eine resiliente Organisation in diesem Bereich habe, wenn meine eigene Business Continuity im Bereich der Informationssicherheit gesichert ist, kann ich langfristig als Erfinder, Hersteller, Dienstleister, Mitarbeiter, Manager und letztlich als ganze Organisation überleben.
Was bedeutet das für das Management?
Wenn also Informationssicherheit ein "unendliches" Spiel ist, was bedeutet das für die Informationssicherheit im Kontext des Unternehmens, dass Sie kein "endliches" Spiel (oder Geschäft) auf einem "unendlichen" Spielfeld spielen können, ohne Ihre Widerstandsfähigkeit zu verlieren, sei es in Bezug auf IT-Sicherheit, Informationssicherheit oder sogar Geschäft. Das "Spiel" geht weiter und weiter, und Sie müssen flexibel bleiben, um ihm zu folgen.
Das Bittere ist, dass man auch nicht aus dem Spiel herauskommt, man muss das Beste daraus machen. Darüber hinaus müssen Sie akzeptieren, dass Sie nicht alle Bedrohungen vorhersehen können, von denen Sie noch nichts wissen, und dass Sie nicht über die richtigen Mitarbeiter, Technologien, Organisationen und Budgets für alle Probleme verfügen. Aus diesem Grund arbeitet man am besten mit Konzepten und Standardeinstellungen, die Missbrauch erschweren oder von vornherein verhindern (Security by Design, Zero Trust Security Model).
Es ist notwendig, die eigene "Denkweise" neu zu justieren, die Informationssicherheit nicht als Bedrohung ansieht, sondern die Herausforderung darin sieht, die Entwicklung des Unternehmens entsprechend seinen Bedürfnissen zu fördern. Es muss ein Organisationsmodell gefunden werden, das sowohl kurz- als auch langfristige Aspekte berücksichtigt, strukturelle Voraussetzungen schafft, um von der Expertise interner und externer Experten zu profitieren, und das eine Compliance-Kultur implementiert. Dann geht es nicht mehr darum, mühsam auf Fragen der Informationssicherheit zu "reagieren", sondern die Dynamik zu nutzen; Informationssicherheit muss vom "Bremser" zum "Change Agent" werden!
Bausteine für kontinuierliche Anpassungsfähigkeit
Wenn es also keinen "einen" Schalter gibt, den man im ständigen Wechsel des "Unendlichen Spiels" umlegen kann, um der sich ständig verändernden Umgebung standzuhalten, wie bekommt man ihn dann in den Griff? Es gibt die folgenden Bausteine, die ALLE ZUSAMMEN angewendet werden müssen:
Formulieren Sie Visionen, für die Sie stehen
Mutige Führung
Kultur des Vertrauens und des Wissens
Wettbewerb mit anderen
Flexibilität im Handeln
Normen, Standards und Konzepte verwenden
Verhalten anpassen
1. Formulieren Sie eine Vision, für die Sie stehen
Arbeiten Sie mit Ihren Mitarbeitern an einer Vision im Bereich der Informationssicherheit, die kein Selbstzweck ist, sondern deren Inhalte und Ziele für jeden Mitarbeiter klar, verständlich sowie nachvollziehbar sind und für die sie sich identifizieren können (vgl. Simon Sinek "Just Cause").
Die Vision sollte
eine positive Zukunftsvision enthalten, sie sollte auf etwas abzielen und sich nicht gegen etwas (z.B. Konkurrenten) richten
so offen sein, dass jeder im Unternehmen mitmachen kann, keine Gruppe oder Einzelperson sollte sich ausgeschlossen fühlen
kundenorientiert sein und kein Selbstzweck
stabil sein und Veränderungen auf politischer, technischer und kultureller Ebene überdauern
idealistisch und stark sein, kann es auch eine unmögliche "Vision" sein, wenn das Ziel (Perfect Information Security) nie wirklich erreichbar ist, weil sich das Umfeld, die Technologie usw. ständig ändert.
Das Ziel der Informationssicherheit muss sein, dass jeder die Vision lebt, nicht um Vorgesetzter oder Regeln oder Angst vor Bestrafung willen, sondern um des gemeinsamen Ziels willen. Auch wenn das Ziel letztlich nie erreichbar ist, kann sich das schrittweise Erreichen und stetige Vorankommen als Motivation für die Mitarbeiter zeigen. Und die Vision muss von oben nach unten vorgelebt und erlebt werden, sie müssen zur Kultur der Organisation passen. Nur dann werden sie gelebt und erfüllt werden!
2. Mutige Führung
Das Management muss bei der Informationssicherheit mit gutem Beispiel vorangehen und motivieren und dabei sowohl kurz- als auch langfristige Ziele verfolgen, die sowohl dem Unternehmen als auch den einzelnen Mitarbeitern dienen. Das ist nicht immer einfach, denn die Einführung von Regeln und Maßnahmen, der Abgleich von Investitionen oder Technologieentscheidungen ist eine ständige Herausforderung, auch aus Sicht der Interessen der verschiedenen Stakeholder.
Gleichzeitig ist das Ziel der Einführung eines ISMS auf Basis von ISO 27001 eine sehr reale Aufgabe, und die Vergabe eines Zertifikats ist ein klares Ergebnis, das intern und extern mehr Sicherheit schaffen, von Kunden gefordert oder vom Markt als positives Signal wahrgenommen werden kann.
Leider besteht das spezifische Problem vieler Informationssicherheitsbedrohungen darin, dass sie erst dann "real" sind, wenn sie tatsächlich stattgefunden haben, d.h. sie kosten wirklich Geld, Zeit, Aufwand und Reputation. Aber es ist nicht sicher, dass sie immer passieren werden. Es braucht Mut, an den Zielen festzuhalten und gegebenenfalls Investitionen zu tätigen, deren aktueller Nutzen nicht sehr greifbar ist.
Es liegt auch in der Verantwortung des Managements, den Mitarbeitern zu zeigen, dass sie selbst ein wichtiger Teil der Informationssicherheit der Organisation sind. Sie sind Teil des Teams, das an der Vision arbeitet und somit an der Verwirklichung der Vision beteiligt ist, was eine viel größere und wichtigere Aufgabe ist. Und sie sind nicht nur hier, um einen "Teil" der Aufgabe zu erledigen!
3. Kultur des Vertrauens und des Wissens
Einer meiner ehemaligen Chefs hat in der gesamten Unternehmenskultur und allen Zielvereinbarungen eine äußerst sinnvolle und pragmatische Regel geprägt, die ich nie vergessen habe und die ich auch hier für sinnvoll halte:
"Intelligente Nutzung kommunizierter Vereinbarungen".
Was bedeutet das?
Mitarbeiter müssen über Vereinbarungen (Regelwerke, Vorgaben, Standards wie DSGVO, ISO 27001, ISO 9001 etc.) verfügen, die ihnen erklärt und zur Kenntnis gebracht werden müssen, damit sie darauf reagieren können. Nicht buchstäblich jede Spezifikation gilt, da sich die Umgebung ständig ändert.
Aber dem Mitarbeiter wird das Wissen und die Verpflichtung anvertraut, sorgfältig darüber nachzudenken, was er oder sie tut und zu überprüfen, was im besten Interesse des Unternehmens ist. Und der Mitarbeiter erhält die Wertschätzung, dass er als Teil des Unternehmens und Teams persönlich verantwortlich sein und seinen Beitrag leisten kann. Auf diese Weise schützt er "sein" Unternehmen, sein Vermögen und den Arbeitsplatz vieler Kollegen, letztlich auch seinen eigenen.
Es muss eine Kultur entwickelt werden, die es jedem Mitarbeiter ermöglicht, beim Entwickeln, beim Betreten des Werksgeländes oder auch bei der Beobachtung von Fehlern oder kriminellen Handlungen über das Thema "Informationssicherheit" nachzudenken.
Das Ziel ist nicht, irgendjemanden an den Pranger zu stellen, sondern Fehlverhalten zu erkennen und zu verhindern, um letztendlich der Organisation zum Wohle aller zu helfen und sie zu stabilisieren. Offene und faire Feedbackrunden (360°), Whistleblowing-Plattformen, Ombudsmänner, Vertraute etc. sind organisatorische Instrumente, die eine wichtige Rolle spielen.
Die Regeln und Vorschriften müssen daher angemessen und auf dem neuesten Stand der Technik sein und kontinuierlich weiterentwickelt und kommuniziert werden. Die Unternehmenskultur muss kontinuierlich optimiert, entwickelt, kommuniziert und gelebt werden, vom Top-Management bis zum Ungelernten!
4. Wettbewerb mit anderen
Letztendlich müssen Organisationen auf dem Markt überleben und Kapital für den Betrieb benötigen. sie müssen Produkte und Dienstleistungen produzieren, vertreiben und kontinuierlich optimieren, ihre Mitarbeiter angemessen entschädigen, aber auch wirtschaftlich handeln und Kundeninteressen berücksichtigen.
Daran müssen alle Unternehmen arbeiten, auch ein Marktführer hat hier die Aufgabe, "vorne" zu bleiben, denn Marktkonkurrenten lauern, um Fehler oder Lücken im Programm auszunutzen. Und die Märkte selbst verändern sich oder Technologie-Pushs führen zu Verwerfungen. Ein gutes Beispiel ist Nokia, einst der Weltmarktführer für Mobiltelefone. Dieses damals stolze Unternehmen hatte die Technologie und die Experten, um Smartphones herzustellen, verschlafen aber die Transformation zu Smartphones komplett und konnte dann nicht aufholen (Kodak ist analog).
Erst der ständige Wandel von Technik, Gesellschaft, Umwelt, Anforderungen und dem Wettbewerb am Markt lässt Unternehmen gut performen, auch im Bereich der Informationssicherheit und wenn die Wettbewerbsfähigkeit erhalten bleibt, hat sich ein Unternehmen die Existenz "verdient". Im Wettbewerbsumfeld ist Informationssicherheit keine Belastung, die vernachlässigt werden kann, sondern ein Vorteil.
Oder würden Sie, wenn Sie sich zwischen zwei Rechenzentren entscheiden müssten, den Auftrag ohne gültiges ISO 27001-Zertifikat an das Unternehmen vergeben?
5. Flexibilität im Handeln
Nehmen wir an, Sie haben eine stabile IT-Umgebung implementiert, bisher haben Sie alles intern bereitgestellt, mobile Arbeitsplätze waren nur im Vertrieb und Service.
Aber plötzlich, in der Pandemie, arbeiten 80% Ihrer Mitarbeiter im Homeoffice und auch in wichtigen Bereichen und kritischen Bereichen (Finanzen, HR).
Sie müssen also antworten, aber was würden Sie von einem Team erwarten, das sehr schlank ist, seit 10 Jahren mit der gleichen Technologie arbeitet und eine große Reife erreicht? Sicherlich vertrauen sie darauf, dass das Team alles Notwendige in dem Segment tut, das sind gute und engagierte Leute, aber was ist, wenn sich die Bedingungen schnell ändern, wie sie es hier in der Pandemie getan haben?
Werden ihre Kollegen noch handlungsfähig und auf alle Umstände vorbereitet sein?
Sind ihre Sicherheitsexperten in der Lage, die vielfältigen und sich ständig ändernden Bedrohungen für so viele Kollegen zu bewältigen?
Haben Sie genügend Kapazitäten an Bord, sowohl qualitativ als auch quantitativ?
Haben sie die richtigen Playbooks, um Bedrohungen aus verschiedenen Bereichen abzufangen?
Konnten Sie auf alles mit JA antworten? Gut, aber wenn nicht?
Die Dinge ändern sich ständig in der Informationssicherheit als Infinite Game, daher ist es wichtig, sich mit der Flexibilität zu positionieren, Bedrohungen zu managen, auf Technologien zu reagieren und gezielt mit dem richtigen Personal zu reagieren.
Überlegen Sie, ob all dies intern gehandhabt werden kann und wenn ja, ob die Zusammenarbeit mit externen Experten oder Dienstleistern Sie flexibler und technisch leistungsfähiger macht. Dies muss nicht zur Entmachtung der internen IT führen; Vielmehr kann es zu einer Öffnung für neue Themen führen und somit motivierend auf die Mitarbeiter wirken.
Beispielsweise kann ein externes Security Operations Center (SOC) ihnen schnell mit dem richtigen Fachwissen helfen, das möglicherweise intern nicht oder nicht schnell genug verfügbar ist oder mit anderen Aufgaben beschäftigt ist, aber dann andere wichtige Aufgaben vernachlässigt. Oder ein externer Informationssicherheitsbeauftragter kann für mittelständische Unternehmen einen großen Beitrag leisten, ohne zusätzliche Kapazitäten aufzubauen.
Seien Sie flexibel in Ihrer Organisation und Ihrem Handeln, überdenken Sie Organisation und Konzepte und haben Sie - je nach Kontext und Kritikalität - eine auf Ihr Unternehmen zugeschnittene Strategie zur Bereitstellung von Informationssicherheitsdiensten entwickelt.
6. Normen, Standards und Konzepte verwenden
Mit Blick auf viele mögliche Konzepte und Standards möchte ich nur die wenigen wesentlichen Aspekte hervorheben:
6.1 Zero-Trust-Sicherheitsmodell
Vereinfacht gesagt, wurde bisher oft der Zugriff dem Mitarbeiter gewährt, der gerade in einem Netzwerk mit der richtigen Hardware aktiv ist, aber dieser könnte gestohlen oder das Passwort kompromittiert werden. Dieses Maß an Vertrauen ist fragwürdig in einer Zeit, in der von überall und über eine Vielzahl von Medien auf Systeme und Daten zugegriffen wird. Angesichts eines Netzwerks, das nun als potenziell kompromittiert gilt, geht man zunächst davon aus, NOBODY zu vertrauen (Zero Trust) und schafft eine passende Architektur. Eine Zero-Trust-Architektur (ZTA) ist der Cybersicherheitsplan einer Organisation, der Zero-Trust-Konzepte verwendet und Komponentenbeziehungen, Workflow-Planung und Zugriffsrichtlinien oder -prüfungen (z. B. Zugriffsort) umfasst. Dieses Modell gilt als hochsicher und wird verwendet, um genaue Zugriffsentscheidungen pro Anforderung in Informationssystemen und -diensten durchzusetzen.
Vereinfacht ausgedrückt sind die Wichtigsten Prinzipien hinter Zero-Trust-Architekturen:
Eine einzige starke Quelle der Benutzeridentität
Benutzerauthentifizierung
Maschinenauthentifizierung
Zusätzlicher Kontext, z. B. Richtlinienkonformität und Gerätestatus
Autorisierungsrichtlinien für den Zugriff auf eine Anwendung
Zugriffssteuerungsrichtlinien innerhalb einer Anwendung
6.2 Security by Design
Was passiert, nachdem ein Schaden entstanden ist? Neben dem Sammeln von Informationen über den Schaden oder wer möglicherweise "schuld" ist oder die Schuld ablenkt ("Ich bin nicht verantwortlich"), findet unter Mitarbeitern und Management eine Ursachendiskussion darüber statt, was den Schaden verursacht hat und was hätte getan werden können, um den Schaden zu verhindern. Um dies zu veranschaulichen, verwende ich gerne ein (etwas drastisch formuliertes) Beispiel:
Ein Kind fiel in den Brunnen und ertrank leider!
Nun, was wären die Vorsichtsmaßnahmen, die man vorher gerne verwendet hätte:
Decken Sie den Brunnen ab oder installieren Sie ein Sicherheitsnetz
Bauen Sie einen Zaun um den Brunnen
Bringen Sie Kindern das Schwimmen bei und machen Sie Schwimmunterricht obligatorisch
Informieren Sie Kinder über die Risiken
Stellen Sie ein Verbotsschild "Keine Kinder erlaubt" auf.
Drohen Sie Kindern mit einer Geldstrafe, weil sie in den Brunnen gefallen sind
Drohen Sie Eltern mit einer Geldstrafe, wenn ihr Kind in den Brunnen fällt
Man merkt, dass auf dieses tragische Ereignis schnell absurde Diskussionen folgen. Übertragen auf die Informationssicherheit und die Sicherheit von IT-Systemen stellen wir fest, dass in vielen Fällen Lösungen vor Ort im Einsatz sind, die
sind historisch gewachsen und niemand weiß mehr wirklich von ihnen
hatte keine Sicherheit im Vordergrund
wurden unter Zeitdruck entwickelt
haben aufgrund der Flexibilität nur wenige Einschränkungen
schwache Sicherheitslösungen implementiert haben
zum Zwecke des schnelleren Zugriffs und der Verwendung im Team mit uralten Gruppenpasswörtern versehen, die jeder kennt
Missachtung aller Regeln aus persönlicher Loyalität oder Erfahrung ("es ist noch nie etwas passiert").
Daher muss eine ernsthafte Verbesserung der Sicherheit immer die Überlegung beinhalten, Risiken zu vermeiden, um die Vermeidung von Schäden von vornherein durch gute Konzeption einer Lösung oder geeignete Maßnahmen auszuschließen. Eine hilfreiche Richtlinie ist die "Least Priviledge Policy", d.h. die Reduzierung der Rechte aller Mitarbeiter auf ein absolutes Minimum, das für ihre Arbeitsfähigkeit erforderlich ist und alle Erweiterungen oder Änderungen nur in einem kontrollierten Prozess ermöglicht werden.
6.3 Normen/Standards/ISMS (ISO 27001, TISAX, BSI Grundschutz, DSGVO)
Die Verwendung von Normen und Standards ist vorteilhaft; auf diese Weise fließen die Erfahrungen und das Wissen vieler Experten in das Unternehmen ein.
Und ein gut strukturiertes Informationssicherheits-Managementsystem (ISMS) ist eine optimale Basis für die effektive Umsetzung einer ganzheitlichen Sicherheitsstrategie. Hier hat das Management mehrere Optionen, die je nach Kontext der Organisation hilfreich sind, die international anerkannte Norm "ISO 27001" (oder für die Automobilindustrie die Norm TISAX) oder die deutsche Norm des "BSI Grundschutz". Die Anwendung dieser Standards bietet nicht nur die Möglichkeit der Zertifizierung – orientiert an den Bedürfnissen des Marktes – sondern hilft auch, die Organisation zu verbessern, die alternativ intern mühsam erarbeitet werden müsste.
Die DSGVO bringt weitere Vorteile, denn auch wenn das Gesetz von vielen kritisch gesehen wird, weil seine Anwendung mit Aufwand verbunden ist, schafft es Klarheit in den Zielen und Aktivitäten, die der Sicherheit personenbezogener Daten dienen.
Sehen Sie es als Vermögenswert und nicht als harte Hypothek! Mit der Anwendung der Regeln haben Sie einen hohen Sicherheitsstandard für Daten von Kunden und Mitarbeitern! Zudem führen bereits erledigte "Hausaufgaben" im Bereich der DSGVO zur Vereinfachung weiterer Maßnahmen zur Informationssicherheit, denn der Grundstein ist bereits gelegt.
7. Verhalten anpassen
Gehen Sie davon aus, dass in Infinite Games immer Dinge passieren, die es vorher nicht oder noch nicht in dieser Dimension gab, sowohl technisch als auch zeitlich oder sogar organisatorisch. Wenn eine Situation für alle neu ist, braucht es Zeit, seien Sie sich dieser Tatsache bewusst!
Die Bedrohungen von "Emotet" waren nichts Neues, wenn man sie im einzelnen Detail betrachtet, aber in Kombination waren sie eine beispiellose Bedrohung. Und auch Phishing oder Ransomware ist nichts Neues, hat aber in Zeiten des Homeoffice und mit zunehmender Digitalisierung eine neue Dimension erreicht. Wenn ein Vorfall auftritt, ist es wichtig, dass das IT-Management mit IT-Experten spricht und dass "Nicht-IT"-Experten mit dem Sicherheitsteam über das Problem sprechen, Sie müssen die Organisation oder andere Fachleute verwenden. Sie alle müssen in der Lage sein, einander zuzuhören, und wenn jemand das Problem auch aus Mangel an Wissen im Detail nicht versteht, lassen Sie es so einfach wie möglich erklären. Stellen Sie so lange Fragen, bis der Kontext klar ist!
Wenden Sie sich bei Bedarf an externe Unterstützung, wenden Sie sich an die BSI-Experten oder nutzen Sie Foren oder spezialisierte Sicherheitsdienstleister. Des Weiteren gibt es für Nicht-Experten verständliche Literatur, die für viele Fälle genutzt werden kann (Cyber Security for Dummies*).
Sobald eine Situation von allen ausreichend verstanden wird, ist es einfacher, an Lösungen zu arbeiten!
Kritische Anmerkungen
Die oben genannten Aufgaben innerhalb der Bausteine sind nicht einfach zu lösen, unter dem Diktat von Zeit, Budget und menschlicher Kapazität müssen Kompromisse eingegangen werden, es gibt keine perfekte Lösung.
Aber man muss diese Ziele iterativ verfolgen und entwickeln. Wenn Sie auf Dauer einen davon weglassen, werden Sie Ihr Ziel der Resilienz nicht erreichen, sondern umso mehr in andere Bereiche investieren, um die Mängel auszugleichen. Technologische oder kommerzielle Fortschritte gehen in unserer IT-Welt oft schneller voran als der - an sich wünschenswerte - analoge Fortschritt der Sicherheit.
Wüssten die Nutzer über die Sicherheit der Anwendung, die Risiken und ihre Daten Bescheid, würden viele Dienste mangels Nachfrage nicht implementiert und kaum genutzt! Vertrauen in Anbieter und Plattformen ist ein wichtiges Gut, aber nicht immer mit Wissen, gewonnenen Informationen, Verständnis und Zeitdruck gerechtfertigt. Menschliche Schwächen und Eigenschaften (Versuch und Irrtum, "haben wollen", Ignoranz, Lust auf Neues, Verspieltheit, coole Features), reale funktionale Vorteile (z.B. Wikipedia, Apps für Gesundheit, Service-Apps) und kommerzielle oder kriminelle Aktivitäten bilden oft eine "virtuelle" Allianz, um die Situation auszunutzen, um den Markt auszunutzen.
Und der globale oder nationale Rechtsrahmen ist teilweise völlig mangelhaft, nicht immer ausreichend anwendbar oder umsetzbar, oder Mängel / Probleme / Kriminalität sind nicht nachvollziehbar oder umsetzbar oder einfach zu langsam im Vergleich zur Technologie.
Informationssicherheitsmanager sollten immer im Hinterkopf behalten, dass, wenn Sie sich im Unternehmen stark für die Informationssicherheit engagieren, Sie sich nicht immer beliebt machen werden. Wer das aber erreichen will, sollte sich auch fragen, ob man genug für das Unternehmen und/oder die Sicherheit getan hat!
Fazit für das Management
Vertrauen ist ein wertvolles Gut!
Auf das Vertrauen in Unternehmen und deren Informationssysteme kann man nicht verzichten, aber dieses Vertrauen wird auch schnell verspielt, wenn Vorfälle auftreten, die nicht angesprochen, gelöst und für die Zukunft vermieden werden. Das Wiedererlangen von Vertrauen dauert länger als es aufrechtzuerhalten, und es ist manchmal nicht möglich. Lassen Sie es nicht so weit kommen!
Was bleibt?
Lassen Sie sich schließlich diese Frage stellen: Wofür möchten Sie in Erinnerung bleiben?
Möchten Sie als die Person in Erinnerung bleiben, die - entgegen vieler Widrigkeiten - das meiste Geld im Bereich der "Informationssicherheit" gespart hat und das Unternehmen kurzfristig mit mehr Gewinn zurücklässt, aber in einem täglichen Kampf und Risiken, die schwer zu managen sind, sowie einer schlechten Kultur in der Informationssicherheit und einem schlechten Sicherheitsimage auf dem Markt, einschließlich schlechterer langfristiger Erträge?
Oder möchten Sie als der Manager in Erinnerung bleiben, der den Grundstein für eine angemessene Informationssicherheit im Unternehmen gelegt hat, was - auch wenn Sie bereits im Ruhestand sind - späteren Generationen, der Unternehmenskultur, den Mitarbeitern und den Kunden sowie dem Image des Unternehmens zugutekommen wird?
Autor: Klaus Kilvinger, Thomas Salvador
Haben Sie Interesse daran, dass wir Sie unterstützen, im Rahmen des Infinite Game ihre Ziele zu erreichen? Sprechen sie mit uns!
Comments