Veraltete Technik als Sicherheitsrisiko – Einmalige Investition reicht nicht aus
„Die meisten Firmen haben viel Geld in die IT-Sicherheit ihres Unternehmens investiert. Allerdings genügt hierbei eine einmalige Investition bei Weitem nicht, denn das ständige Katz- und Mausspiel zwischen den Cyber-Kriminellen und den Sicherheitsanbietern erfordert ständige Wachsamkeit und die Anpassung der Sicherheitstechnologien im Unternehmensnetzwerk“, zu diesem Ergebnis kommt Computerwoche-Redakteur Thomas Fischer in einem Beitrag zum Dell Security Survey 2015, der Anfang diesen Jahres vorgestellt wurde.
In der Umfrage wurden IT-Verantwortliche in 175 deutschen Firmen mit 100 und mehr als 1.000 Beschäftigten befragt.
Als Gründe, weshalb die eigenen IT-Sicherheit nicht mehr auf dem neuesten Stand ist, gaben die Umfrageteilnehmern an, dass
- es bisher noch nicht zu ernstzunehmenden Sicherheitsvorfällen gekommen ist,
- das IT-Security-Budget zu gering ist,
- Personal fehlt und
- das Management nicht ausreichend sensibilisiert ist.
„Et hätt noch emmer joot jejange …“
Das Rheinische Grundgesetz scheint also im Bereich IT-Security mittlerweile weit über die Region hinaus Anwendung gefunden zu haben. Allerdings muss natürlich auch die Frage erlaubt sein, ob sich das Management im Schadensfall auch darauf berufen kann und welche rechtlichen Folgen sich daraus ergeben. Über die Haftungsrisiken von Vorstand und Geschäftsleitung im Bereich IT-Sicherheit haben wir bereits im Jahr 2014 ein Whitepaper erstellt, das bis heute nichts an seiner Aktualität und Bedeutung verloren hat.
Fakt ist: Es scheint immer noch eine große Herausforderung zu sein, sich auf Managementebene intensiv mit dem Thema IT-Sicherheit auseinander zu setzen. Die nicht ausreichende Sensibilisierung wurde in der DELL-Umfrage ja ebenfalls als Grund für eine veraltete IT-Sicherheit angegeben. Und dann fehlt natürlich auch die Bereitschaft, immer wieder in die entsprechende Technologie zu investieren, was zu einem Mangel an Budget und Personal führt.
„Make or Buy“, bzw. „Fragen Sie jemanden, der sich damit auskennt“
Eine Option, zukünftig nicht mehr ausschließlich darauf hoffen zu müssen, dass alles gut geht, besteht darin, den Bereich IT-Security teilweise oder gesamt an einen externen Dienstleister auszulagern. Dies geht zwar nicht ganz für „lau“, Vergleichsrechnungen in der Praxis ergeben allerdings in der Regel einen deutlichen Kostenvorteil der ausgelagerten Variante, darüber hinaus sind die Kosten einfacher und konstanter kalkulierbar. Darüber hinaus schlägt man damit gleich „mehrere Fliegen mit einer Klappe“. Zum einen kümmert sich der Service Provider darum, dass die Security-Infrastruktur kontinuierlich auf dem neuesten Stand ist. Außerdem verfügt er über das geschulte Fachpersonal an IT-Security-Experten, in die das Unternehmen selbst nicht investieren kann oder möchte. Und wenn dann am Ende das häufige genannte Argument zur Angst vor dem Kontrollverlust kommt, dann kann dem nur entgegnet werden, dass es Dienstleister gibt, die gemeinsam mit ihren Kunden die Betriebsform festlegen, die ein Maximum an Leistung und Flexibilität bei einem Maximum an Kontrollmöglichkeiten bieten.