com!-Academy-Banner
Security-Konzept

Sicherheit gehört ins IT-Management

von - 24.07.2017
IT-Sicherheit
Foto: Pavel Ignatov / Shutterstock.com
Auch wenn es mancher Anbieter anders suggeriert: APT, IDS und all die Security-Technologien schützen nicht vor Angriffen, wenn Sicherheit nicht integraler Bestandteil des IT-Managements ist.
Dieser Artikel wurde von Thomas Hediger, Associate Partner von alevo, verfasst.
Kleiner Fehler, großer Schaden: Aufgrund von Ferienabwesenheit wurde in einem Finanzinstitut ein ungeprüfter Change eingespielt, der am Access System einige Konfigurationsparameter änderte. Wegen einer Sicherheitslücke in einer veralteten Software konnte außerdem ein noch aktiver Account eines früheren Administrators übernommen werden. So hat sich ein Angreifer weitere Zugriffsrechte verschafft und über längere Zeit sensible Kundendaten extrahiert.
Thomas Hediger
Thomas Hediger von alevo plädiert für das Integrieren von IT-Management und IT-Security.
(Quelle: alevo)
Dieses Szenario ist zwar fiktiv, aber nicht unrealistisch. Zwar wird Security in den meisten Unternehmen als strategische Management-Aufgabe wahrgenommen und entsprechend "High-Level" behandelt. Die konkreten Sicherheits-Projekte werden jedoch häufig isoliert vom Betrieb als zusätzliche Layer aufgesetzt und nicht in die IT-Governance eingebunden. Cyberangriffe erfolgen aber nicht auf PowerPoint-Folien, sondern auf die meistens sehr kleinen Schwachstellen in der operativen Infrastruktur.
Vom CISO, der internen Revision oder dem Regulator getrieben, wird meist top-down ein Policy-Framework aufgebaut. Doch von oben veranlasste Vorgaben greifen selten bis in die betriebliche Realität. Was fehlt, ist die Rückmeldeschleife aus dem Betrieb. Damit ist nicht der regelmäßige Auditbericht gemeint, der als zusätzliches Kontrollinstrument seine Berechtigung hat. Es geht vielmehr um die Nutzung der vorhandenen Informationsquellen aus dem Service-Management.
Zwar führen viele Unternehmen Service-Management-Prozesse wie Change, Deployment und Incident sowie die entsprechenden Tools auf einem hohen Reifegrad nach ITIL ein oder lassen sich sogar nach ISO 20000 zertifizieren. Aber für das Risiko-Management werden diese Methoden meist nicht genutzt. Wenn Security als Qualitätsfaktor eines IT-Services verstanden wird, liegt die Integration in die Service-Management-Prozesse eigentlich auf der Hand.
Verwandte Themen