Management und Wissen / Erfolgreiche IT-Sicherheit

IT-Sicherheit ist... erfolgreich?

Erkenntnisse aus der leidgeprüften Praxis

Unser langjähriger Autor Ralph Dombach navigiert seit vielen Jahren über Datenautobahnen und Schleichwege der Security – selbstverständlich immer schnell, sicher und zielführend. In dieser Glosse verrät er Mittel und Wege erfolgreicher IT-Security.

Von Ralph Dombach, Germering

IT-Sicherheit ist erfolgreich – das muss sie sogar sein, denn mit erfolglosen Dingen beschäftigt sich ja niemand! (Letzteres erklärt, nebenbei bemerkt, vermutlich auch das geringe Interesse der Bevölkerung an der Politik.) Und nur, damit wir uns richtig verstehen: Auch in der ITSicherheit gibt es erfolglose Projekte. Aber wer redet schon gerne über seine Fehler?

Einblick

Außerdem ist alles längst nicht so schlimm, wie die allgegenwärtigen Schwarzmaler behaupten: Ein Jahr nach Inkrafttreten des IT-Sicherheitsgesetzes gab es Medienberichten zufolge nur sieben Vorfallsmeldungen aus dem KRITIS-Umfeld – nicht 70 oder 7000, nein: gerade mal 7. Das ist doch beeindruckend!

Also ist IT-Sicherheit offenbar erfolgreich! Irgendwie mag das zwar nicht so recht zu den wöchentlichen Nachrichten passen, dass wieder einmal Hacker hunderttausende von Datensätzen gestohlen haben – und zwar nicht von kleinen Startups, bei denen die ganze Firma aus zwei Hanseln besteht, sondern von großen Unternehmen, also Firmen, die nennenswerte Budgets für ITSicherheit bereitstellen und trotzdem vorgeführt werden.

Aber was solls? Kein Grund zur Aufregung! Denn nach wenigen Tagen sind die Aktienkurse wieder auf dem alten Niveau und die Kunden voller Zuversicht, dass alles nur ein einmaliges Problemchen war. Schließlich wurde die Ursache identifiziert und die Sicherheitslücke geschlossen (ups, gabs die wirklich schon zwei Jahre?!). Nach einem „Lessons-Learned“-Meeting ist dann jedenfalls alles wieder auf Erfolgskurs, wie es sich für die IT-Sicherheit gehört.

Um diesen Kurs zu bestätigen, startet man sogleich noch einige neue Security-Projekte, vorzugsweise mit coolen Namen – irgendwas mit „Next“ oder „4.0“. Gibt es dann nach einiger Zeit Memos zu Terminüberschreitungen, geplatzten Budgets oder Leistungsreduzierungen, sind dies beileibe keine Probleme, sondern lediglich Challenges, an denen man wachsen kann.

Und wenn es mit den Herausforderungen mal nicht so klappt, signalisiert man natürlich trotzdem ein „Alles im grünen Bereich!“ an den CIO und ignoriert die kleine nervende Rot-Nuance, damit man in Ruhe weiter optimieren kann. Letztendlich zählt ein akzeptabler Projektabschluss! Man muss auch nicht immer 100 % erreichen, wenn 80 % bereits genügen – Hauptsache, der WOMBATStempel („Waste of Money, Brain, and Time“) kommt nicht zum Einsatz und bleibt Airport-Planern vorbehalten.

Durchblick

Dabei ist IT-Sicherheit mindestens ebenso kompliziert wie die Planung eines neuen Hauptstadt-Flughafens. Oft stellt sich daher die Frage: Wer blickt da überhaupt noch durch? (also bei der Security!) Viele eigene Security-Mitarbeiter doch schon lange nicht mehr, denn die wurden von IT-Beratern auf irgendein innovatives Cloud-Thema angesetzt und haben mit der Zeit ihr altes Fachwissen gegen neues tauschen müssen.

Macht aber nix, denn Inhouse- Security lohnt heute ohnehin nicht mehr: Die Zukunft gehört, das sagen ja alle, dem Security-as-a-Service-( SaaS)-Partner, auch wenn dieser gelegentlich schwächelt, da manche geforderten Sicherheitsthemen halt nicht zu seiner Kernkompetenz gehören. Aber egal – Security muss erfolgreich und preisbewusst sein, um dem Dogma „IT-Sicherheit ist nur ein Kostenfaktor!“ entgegenzuwirken.

Kleine Risse im perfekten Dienstleister-Universum zeigen sich unter anderem, wenn Projekte durch EHDA-Mitarbeiter (also solche, die „eh da“ sind) preiswerter und schneller umgesetzt werden als durch externe Security-Consultants.

Dies passiert bevorzugt bei Aktivitäten, die Wissen um interne Abläufe, Prozesse und Produkte erfordern. Ein Paradebeispiel hierfür ist die nun allerorts langsam anlaufende Umsetzung der Datenschutz- Grundverordnung (DS-GVO), die bisher gerne, aus vielfältigen Gründen, im Dornröschenschlaf belassen wurde.

Datenschutz und IT sind jedoch oft derart eng miteinander verwoben, dass das entstehende Konglomerat einem gordischen Knoten gleicht. Was Alexander der Große vermochte, vermag natürlich auch die IT-Sicherheit zu lösen – mit Elan, Fachwissen und ganz ohne Schwerter. Als Nebeneffekt vermeidet man so auch, die überregionale Presse mit unerquicklichen Schlagzeilen für die Titelseiten zu beliefern oder die Budgets mit Compliance-Strafzahlungen zu strapazieren. Kurzum: Lässt man die Security agieren, kann sie erfolgreich sein.

Ausblick

Wunder zu bewirken ist ohnehin das, was die IT-Sicherheit immer wieder mal schafft – allen Widrigkeiten zum Trotz. Dabei sind es auch die kleinen Veränderungen, die zum Erfolg führen: einerlei, ob die nun in Form einer Spam-Fibel zum Nachlesen für den geplagten Anwender daherkommen, durch den Einsatz eines unbekannten, aber innovativen Nischenplayers im Anti- Malware-Segment oder den neuen Behaviour-Analyzer, der nun doch endlich die wirklich wichtigen Meldungen aus dem schier unergründlichen Big-Data-Sumpf herausfiltert und so mögliche Aktivitäten von Angreifern identifiziert.

Keine Frage: IT-Sicherheit ist erfolgreich – sonst hätten wir längst wieder Schreibmaschinen und Lohntüten im Einsatz. Aber um erfolgreich zu bleiben, bedarf es stetiger Anstrengungen, denn ITSicherheit ist bekanntlich kein Ziel, sondern ein mühsamer und steiniger Weg – und zwar ein Weg, den an sich alle gemeinsam gehen müssen, vom Enduser über das Top-Management bis hin zu Konzernen, Behörden und Staat!

Fürchtet Euch nicht! Security- Admins, CISOs, Datenschützer und Compliance-Officer werden uns nicht im Stich lassen und dafür sorgen, dass IT-Sicherheit auch weiterhin Erfolge melden kann – und somit dann auch das Business, egal ob bei Megaplayer, KMU oder Start-up.

Auch widrige Umständen können dabei unsere Helden nicht stoppen! Knappe Zeitvorgaben, fehlender Support, zusätzliche Angriffsflächen durch unbedingt notwendige hypermoderne Services, Budget- und Personalkürzungen? Kein Problem. Schließlich ist ITSicherheit gleichermaßen unabdingbar wie erfolgreich – das war sie doch schon immer, oder?!

Ralph Dombach (www.secuteach.de) ist freier Autor – unter @secuteach twittert er täglich mit einem Augenzwinkern über das, was IT-Sicherheit ist und ausmacht.