Überfordert IT-Security Vorstände?
Laut einer Studie „fühlen sich viele Führungskräfte angesichts der Bedrohungen aus dem Cyberspace überfordert“.
Eine Beschreibung der Studie findet sich hier. Es werden Fakten aufgezählt, die Studie dringt jedoch nicht zum Kern des Problems durch. Dieser ist nicht, dass über 40% der befragten Unternehmen angegeben haben, dass sie schon Opfer eines Datendiebstahls gewesen sind. Es ist eine andere Frage. Warum ist es überhaupt so weit gekommen? Wie können sich Unternehmen unzureichend abgesichert fühlen, wo die Unternehmen oft Informationstechnologie schon lange einsetzen und es Cyberangriffe nun wahrlich nicht erst seit gestern gibt!? Die Antwort liegt auf der Hand. Es geht um das eingeplante Budget. Sicherheit kostet Geld. Ein einfaches Beispiel aus dem eigenen Alltag: einfache Schließanlagen (4 Zylinder, 20 Schlüssel) sind bei Auktionsplattformen schon für etwa 15€ zu bekommen. Es liegt keine Schlüsselkarte vor, es ist kein Sicherheitsschloss, das Produktionsland und Hersteller sind ebenso fraglich. Die Zylinder können mit den Schlüsseln auf- und zugeschlossen werden. Nicht mehr und nicht weniger. Dieses Angebot eignet sich, um eine Person vom hereinspazieren abzuhalten. Ein erfahrener Einbrecher sieht in diesem Schloss keine Hürde. Wie hoch muss also die Hürde sein, damit Firmen nicht nur Gelegenheits- oder Zufallsattacken, sondern auch auf speziell auf die betroffene Firma ausgerichtete Attacken abwehren? Eine kurze Pauschalantwort existiert nicht. Im Netzwerk gehen wir auf diese Problematik ein und haben erkannt, dass wir eine Bedrohungslandkarte aufbauen müssen. Wenn bekannt ist, was an Angriffen zu erwarten ist, so kann abgewogen werden, welche Maßnahmen vielversprechend und hinreichend sind, um das Risiko eines Schadens in der eigenen IT-Infrastruktur zu minimieren. Dabei helfen innovative Lösungen, da sie abseits der ausgetretenen Pfade kostengünstige Lösungen darstellen, die Bedarfe abdecken, die sich Unternehmen vorher so nicht leisten konnten oder Dienste anbieten, die es in dieser Form noch nicht gegeben hat.
Wir glauben also, dass die Vorstände zu einer Entscheidung fähig sind. Sie können Budget freigeben und CISOs benennen, um eine Abwehr aufzubauen. Dabei müssen sie mit der mutigen Vision herangehen, dass IT-Security kein verlorenes Budget ist, sondern eine Investition in den dauerhaften Bestand der hauseigenen IT und letztlich in das Vertrauen der Nutzer.