Echte IT-Sicherheit ist vielen Firmen zu teuer

Manager sind routinierte Denk-Profis, die tagein, tagaus nichts anderes tun, als Situationen zu analysieren, Szenarien durchzugehen und Probleme zu sezieren. Sie sind im Normalfall jederzeit in der Lage, die Gesetze der Logik mühelos und zielgerichtet anzuwenden.

Aber sie tun dies nicht immer. Eine Abweichung vom stringenten Denken hält sich hartnäckig bei der IT-Sicherheit. Hier agieren viele Manager in den Top-Etagen, aber oftmals auch in den IT-Fachabteilungen immer wieder entgegen jeglicher Logik und Wahrscheinlichkeit. Gerade dort haben aber die jeweiligen Denkfehler über kurz oder lang fatale Folgen.

Die Diskrepanz zwischen Verständnis und Handeln zeigt sich in einer aktuellen Studie von NTT Security. Dafür wurden 1000 Business-Entscheider aus sieben Ländern, unterschiedlichen Branchen und Unternehmen jeder Größe zu ihrer Einschätzung bei der IT-Sicherheit befragt.

Das Ergebnis in Kurzform: widersprüchliche Angaben, vor allem dann, wenn es ums Geld geht. Vielen Führungskräften ist die massive Bedrohung durchaus bekannt, und trotzdem agieren sie zu zurückhaltend und investieren viel zu wenig, um die IT ihres Unternehmens zu schützen.

Mahner werden mit dem Hinweis ab­gespeist, dass Budgets für notwendige Modernisierungen nicht zur Verfügung stehen, da das eigene Unternehmen nicht im Fokus von Angreifern steht oder hier ohnehin noch nie etwas passiert ist. Wer so argumentiert, verkennt die rasante Entwicklung der IT-Gefahren.

Der Wert der Daten steigt unaufhaltsam an. Nicht nur, weil die Unternehmen immer mehr Daten speichern, sondern auch, weil sie immer kritischere Daten vorhalten. Dazu gehören operative Produktionsdaten, die, wenn gelöscht, schnell Millionenverluste verursachen können, weil zum Beispiel eine Produktionsstraße steht, des Weiteren Daten von Kunden und Interessenten, die auf keinen Fall in falsche Hände oder in die Öffentlichkeit geraten dürfen, oder auch Intellectual-Property-Daten über streng geheime Produktentwicklungen oder Strategien, deren Entwendung ein Unternehmen in den Ruin treiben kann, wenn sie bei skrupellosen Wettbewerbern landen.

Unternehmensdaten müssen stets verfügbar sein. Ist das nicht mehr der Fall, etwa weil Hacker komplette Server zwecks Erpressung verschlüsseln oder weil sie DDoS-Attacken durchführen, um ganze Server-Farmen in die Knie zu zwingen, ist ein Unternehmen so gut wie gelähmt. Dann wird der tatsächliche Wert von Daten wirklich greifbar: Sie sind im Grunde unbezahlbar. Die heutige globale Wirtschaft hängt am Tropf der Informationen und Datenbanken.

In einem Umfeld mit solcher Brisanz sollten Unternehmen ihre Daten nicht einfach nur „gut schützen“, sondern alle nur denkbaren Anstrengungen in Erwägung ziehen, um erstens den unerlaubten externen Zugang zu ihrer IT-Infrastruktur wirksam zu blockieren, und zweitens etwaige unachtsame Mitarbeiter oder gar getarnte Profi-Spione daran zu hindern, Daten unberechtigterweise zu sichten, zu kopieren, zu speichern, zu verändern oder zu löschen.