Ganzheitlicher Schutz vor Angriffen
Security mit Business-Perspektive
von Jürgen Mauerer - 25.05.2020
Wie also kann eine durchdachte, ganzheitliche Security-Strategie heute aussehen? Matthias Zacher, Senior Consulting Manager bei IDC, rät Firmen dazu, sich hier an Frameworks wie dem BSI-Grundschutz oder der Norm ISO 27001 zu orientieren: „Die ISO 27001 zum Beispiel gibt vor, mit welchen Prozessen und Maßnahmen Firmen und Organisationen eine höhere Informationssicherheit erreichen.“
Er empfiehlt Unternehmen, beim Erstellen einer ganzheitlichen IT-Sicherheitsstrategie immer von einer Business-Perspektive aus zu starten, anhand der Geschäftsprozesse Risiken zu bewerten und dementsprechend gezielte Maßnahmen zu definieren und umzusetzen. Welche Rolle spielt Sicherheit im Rahmen des Geschäftsmodells? „Die Unternehmensbereiche haben je nach Risiko verschiedene Security-Profile. Da sich die Sicherheitslage und die Bedrohungsszenarien permanent wandeln, müssen Firmen zukunftsgerichtet denken und ihre Security so aufstellen, dass sie schneller und flexibler auf Angriffe reagieren kann oder, noch besser, diese proaktiv verhindert.“
Christian Koch, Director GRC und IoT/OT bei der Security Division des IT-Dienstleisters NTT, ergänzt: „Es geht immer um ein Zusammenspiel von Prozessen, Technologien und Menschen. Unternehmen sollten bei der Ausarbeitung ihrer Security-Strategie aber keinesfalls über Hersteller oder Produkte diskutieren, die Definition einer Strategie ist unabhängig von dieser Frage. Viel wichtiger ist die Schaffung eines Bewusstseins für die Risiken im IT-Security-Umfeld.“
Seiner Meinung nach wird nur die kontinuierliche Schulung der eigenen Mitarbeiter, aber auch von Partnern und Zulieferern das Sicherheits-Level eines Unternehmens nachhaltig erhöhen. In der heutigen Zeit werde zudem Business-Continuity-Management als Teil der Gesamtstrategie bedeutend, so Koch. Dies beinhalte neben Notfallprozessen bei technischen Störungen auch Wiederanlaufpläne nach Cybersecurity-Vorfällen wie Ransomware und die Pandemie-Vorsorge, die in der Vergangenheit von vielen Unternehmen als wenig relevant abgetan worden sei.
Laut Christian Koch geht es bei allen Unternehmen unabhängig von der Größe um die gleichen Aspekte: „Entscheidend ist, dass sowohl Prozesse als auch Technologien zum Unternehmen und zum Schutzbedarf passen müssen. Es macht keinen Sinn, immer das höchste Sicherheitsniveau erreichen zu wollen. Vielmehr muss das passende Level für die individuellen Anforderungen angestrebt werden.“