A.SYS Denkanstoss: Wieviel IT-Security ist genug?

Christian Singhuber - Von mir als Anbieter von Security-Lösungen erwarten Sie jetzt sicherlich, dass ich Ihnen sage: „Man kann nie genug in IT-Security investieren.“ Doch halt, ich sehe das tatsächlich anders. Sicherheit ist nämlich eine individuelle Fragestellung.

Wenn Sie mit mir kurz vergleichen: ein weltweit aktiver Großkonzern hat andere Möglichkeiten, den Bereich IT-Sicherheit zu managen als ein kleiner Handwerksbetrieb. Ist der Handwerksbetrieb denn nicht auch weniger gefährdet?

 

Nein. Der Verlust wichtiger Daten treibt sogar eher kleinere Einheiten in existenzbedrohende Situationen als größere.

 

Hier gilt: eine klare Organisation und Struktur der Sicherheitsmaßnahmen ist aufgrund der eingeschränkten Möglichkeiten für kleine Organisationen notwendig. Aber auch leichter machbar.

 

Wie wenig IT-Security ist lebensnotwendig?

 

Grundlegend wichtig und unumgänglich ist die Basis-Absicherung, die alle Organisationsformen treffen:

 

- Schutz der Endpoints und Server vor Schadsoftware (Malware)
- Schutz des Netzwerks vor externen Angriffen (Firewall)
- Schutz des Datenbestands (Backup)

 

 

Weniger als das ist keine IT-Security.

 

Unsicherheitsfaktor Mensch?

 

Glauben Sie mir: am ehesten angreifbar ist der Mensch, das Individuum. Deshalb ist eine weitere notwendige (und leistbare) Maßnahme die Schulung der Mitarbeiter/innen, Chef/in inklusive.

 

Je souveräner der Umgang mit eingehenden e-mails, Online-Transaktionen und allen weiteren täglichen (digitalen) Anforderungen, umso geringer ist die Gefahr, dass ein Schaden ausgelöst wird. Auch das gilt für alle Organisationsformen, vollkommen unabhängig von deren Größe.

 

Das sind No-na-Weisheiten? Nun, Sie ahnen nicht wie oft diese Maßnahmen fehlschlagen. Durch „Kleinigkeiten“ wie fehlende Updates, fehlerhafte Sicherungen (Backups) oder eine falsch konfigurierte Firewall. All das tut erst weh, wenn es zu spät ist.

 

Und wenn all das passt – ist das nicht genug IT-Security?

 

Oftmals ja, vielfach nein. Denn nun kommen wir zum entscheidenden Punkt jeder Sicherheitsstrategie: Wo sind Sie (noch) angreifbar?

 

Es geht um die individuelle, um „meine IT-Sicherheit“

 

Jede Organisation ist anders. Tätigkeitsfelder, Mitarbeiter, Kunden, Partner – hier finden sich die großen Unterschiede. Hier wird es individuell.  Und hier tauchen die Fragen nach „mehr“ IT-Sicherheit auf:

 

- Betreiben wir Online-Dienste, die essentiell für unseren Betrieb sind?
- Benutzen wir Online-Plattformen für mobile Datenbereitstellung und –austausch (Cloudspeicher)?
- Benötigen wir ein Kontrollsystem (4-Augen-Prinzip) zum Schutz vor fehlgeleiteten Zahlungen?
- Dürfen private Smart-Devices (Handy usw.) an Firmencomputer angeschlossen werden?

 

Wie gehen wir mit social media um? IP-Überwachungskameras, Zutrittssysteme, Austausch von Buchhaltungsdaten. Und so weiter, usw.

 

Das sind die von den Standards abweichenden Themen, mit welchen sich jede Organisation für sich beschäftigen muss.

Dazu haben größere Einheiten entsprechende Kriterien- und Maßnahmenkataloge. Klein aber fein ist das in jedem Umfeld machbar. Und notwendig.

 

Genug IT-Security haben Sie, wenn Ihr Betrieb dank entsprechender Maßnahmen nur schwer angreifbar ist – und Sie wissen, das Machbare ist getan.

 

Kommentar schreiben

Kommentare: 0