Newsfeed abonnierenDie Ergebnisse einer Umfrage, die WatchGuard Technologies (US-Konzeptionslösungsanbieter für Netzwerk-Sicherheitsstrategien) unter 200 IT-Administratoren und Sicherheits-Beratern auf der diesjährigen RSA Konferenz durchgeführt hat, belegen die Bedeutung einer IT Sicherheitsüberprüfung durch Experten. (RSA = Asymmetrisches Verschlüsselungsverfahren, benannt nach den Erfindern Rivest, Shamir und Adleman).
Mehr als drei Viertel (79 Prozent) der Befragten, die mehrheitlich in mittleren Unternehmen mit weniger als 1000 Arbeitsplatz-PCs tätig sind, gaben an, dass die Sicherheitsvorkehrungen ihres Firmennetzwerks überwunden wurden. Dieses Ergebnis deckt sich mit dem einer zweiten Studie von 214 Abonnementen des LiveSecurity Service (E-Sicherheitsnewsletter), welche besagt, dass nur 7% der Befragten Sicherheits-Policies bis ins Detail befolgen.
Dennoch wird die Notwendigkeit einer IT Sicherheitsüberprüfung in dem eigenen Unternehmen weiterhin als zu gering eingeschätzt. Die unbeantworteten Fragen, wozu man eine solche überhaupt brauche, was sie einem bringe und wie eine solche vor sich geht sind häufig Grund dafür, seine Informatik-Infrastruktur erst gar nicht einer externen Überprüfung zu unterziehen. Wird dennoch ein Sicherheitscheck durch Externe durchgeführt, fühlen sich die IT-Verantwortlichen häufig belästigt, was sich z.B. darin zeigt, dem Prüfer nur das für absolut notwendig betrachtete mitzuteilen, damit die Prüfung möglichst rasch vorbei ist.
Präventionscharakter eines Security-Checks
Die Überprüfung der IT auf Sicherheitsschwachstellen hat zum einen zum Ziel, mögliche Probleme frühzeitig zu erkennen, um gesetzte Geschäftsziele nicht zu gefährden. Doch nicht selten wird eine Sicherheitsüberprüfung auf die Überprüfung der Firewall reduziert. Dies muss allerdings als sehr kurzsichtig beurteilt werden; denn in einem seriösen Angebot kann die Firewall-Prüfung nur ein Teil einer vollständigen Sicherheitsüberprüfung der IT darstellen.
Folglich geht es zum anderen bei einer IT Sicherheitsüberprüfung vor allem um die Sicherstellung der unternehmenskritischen Geschäftsprozesse. Als Beispiel lässt sich anfügen, dass ein Systemausfall nicht zur Folge haben darf, dass das Unternehmen dadurch zahlungsunfähig wird. Oder es muss sicher gestellt sein, dass die zur Produktion benötigten Güter auch dann bestellt oder geliefert werden, wenn die IT oder Teile davon längere Zeit ausfallen.
Sicherheitsrelevante Fragen
Eine Bewusstseins schaffende Frage, wie z.B. was ein Ausfall der IT pro Stunde oder pro Tag bei IT abhängigen Geschäftsprozessen kostet, betont nochmals die Bedeutung eines IT Sicherheitscheck. Weiters muss gefragt werden, ob Konzepte und Prozesse vorhanden sind, die im Notfall, d.h. beim Ausfall einer oder mehrerer wichtiger IT Komponenten dazu dienen, den ordentlichen Geschäftsbetrieb so rasch als möglich wieder herzustellen.
Bei einer Sicherheitsüberprüfung der IT geht es nicht nur um technische Aspekte; denn auch organisatorische Schwachstellen werden erkannt. Das Ergebnis hilft dem IT Verantwortlichen, Verantwortungen zu klären und notwendige Verbesserungen durchführen zu können oder auch die notwendigen Mittel dafür zur Verfügung gestellt zu bekommen.
Aus der Praxis ...
"Viele Kunden wissen gar nicht, wie sehr ihre Unternehmen von der IT abhängig sind" sagt Dr. Otto Zatschek, Geschäftsführer der Firma Sphinx Managed Services. "Erst nach einer Überprüfung und der Auflistung von möglichen Risiken und den damit verbundenen Auswirkungen - wie etwa Produktionsausfällen - wird Ihnen klar, wie wichtig die Rolle der IT Systeme im täglichen Geschäftsablauf ist!"
Dr. Zatschek bekräftig weiter, dass für Klein- und Mittelbetriebe eine Überprüfung rasch durchgeführt ist und oft schon ein paar wenige Konfigurationsänderungen genügen, um die Systeme sicherer zu betreiben. In anderen Fällen sei jedoch auch ein finanzieller und zeitlicher Aufwand notwendig, um die Geschäftsabläufe zu sichern. Doch nur in den seltensten Fällen gäbe es nichts zu verbessern, aber auch solche Firmen habe er schon angetroffen.
Fazit: Ein IT-Manager, der eine externe Security-Überprüfung durchführen lässt, beweist, dass er seine Rolle für das Unternehmen verantwortungsvoll wahrnimmt.
Hier gratis downloaden!
1/2012
8/2011
7/2011
Mag. Carl-Markus Piswanger, MAS ist freier Journalist, Projektberater und hauptberuflich IT-Architekt. Er ist ausgebildeter Versicherungskaufmann, studierter Historiker und postgradualer E-Government-Experte. Er war beim ISP Netway, der Österreichischen Post und der Seibersdorf Research beschäftigt und seit 2004 als IT-Architekt im Bundesrechenzentrum. Der Wiener ist glücklich nicht verheiratet und hat einen Sohn. 