Sichtweisen und Trends

Die meisten Informationsquellen zu IT-Security bieten eine sehr abstrakte Betrachtungsweise. Es ist fast immer die Rede davon, Risiko zu verringen, Sicherheit zu erhöhen und Bedrohungen abzuwenden. Geboten wird zumeist eine Auseinandersetzung mit Themen wie Datenverlust, Schutzbedarf, Bedrohungsbildern und Angriffsszenarien. So natürlich und richtig diese Betrachtungsweisen sind, blenden sie doch einen sehr wichtigen Faktor aus: Nämlich die Menschen, die IT-Security erwerben, implementieren und damit leben müssen. Möchte man realistisch abschätzen, wie es um IT-Security in Unternehmen heute bestellt ist und wie sie sich in der nächsten Zeit weiterentwickeln wird, muss der Faktor Mensch unbedingt einbezogen werden. Die Sichtweisen der unterschiedlichen Rollen in den Unternehmen, vom Benutzer bis zum Vorstandsmitglied, ist ein zentraler Aspekt.

Wenn man heute eine Runde durch österreichische Mittel- und Großbetriebe macht, so lassen sich folgende Grundhaltungen beobachten: Die Benutzer haben den berechtigten Anspruch, dass sie von IT-Security Lösungen in ihrer Arbeit nicht behindert werden wollen. Technische oder organisatorische Maßnahmen, die eine Einschränkung oder einen Mehraufwand bedeuten, sind äußerst unbeliebt. Aus der Sicht der Benutzer besteht also der starke Wunsch, dass IT-Security transparent wirken soll. Die IT-Verantwortlichen sehen IT-Security ganz anders: Hier gibt es ein hohes Risikobewusstsein. Schließlich sind IT-Leiter dazu verpflichtet, potenzielle Gefahren aufzuzeigen und den Aufbau von Gegenmaßnahmen anzuregen und umzusetzen. Eine wiederum ganz andere Position zu IT-Security ergibt sich aus der Perspektive der Geschäftsführungen. Denn das zentrale Anliegen jedes Vorstands muss es sein, das Unternehmen wirtschaftlich zu führen. Dazu gehört, einen starken Fokus auf neuen Geschäftschancen zu haben. Und gerade IT-Security Lösungen haben eher eine bewahrende Tendenz - oft wird erst auf den zweiten Blick klar, welche neuen Geschäftschancen sie eröffnen.

Diese unterschiedlichen Einstellungen von Benutzern, IT-Verantwortlichen und Geschäftsleitungen wirken in der Praxis zusammen. Das Resultat ist die IT-Security Landschaft, wie wir sie heute vorfinden. Viele Mittel- und Großbetriebe sind mit einer Firewall, Virenschutz, Content Scanning und Lösungen für starke Authentifizierung ausgestattet. Im Grunde sind das Maßnahmen, die sich gegen genau jene Bedrohungen richten, für die es bereits auf allen Ebenen ein Verständnis gibt. Für alles, was darüber hinausgeht, lässt sich eine einfache Grundregel aufstellen: Je klarer in einem Unternehmen sowohl Wert als auch potenzielle Gefährdung der eigenen Geschäftsprozesse wahrgenommen werden, umso höher ist das unternehmensweite Bewusstsein für IT-Security. Und, umso besser sind diese Unternehmen abgesichert. Als positives Beispiel dafür sind etwa Bankinstitute zu nennen, bei denen es traditionell ein hohes Bewusstsein für geschäftskritische Prozesse und den Wert von Daten gibt. Für die weitere Entwicklung der IT-Security Landschaft in österreichischen Unternehmen bedeutet das, dass es auch im nächsten Jahr wieder Vorreiter geben wird:

• Unternehmen, die ein hohes Bewusstsein für die Vertraulichkeit von Daten haben, werden sich näher mit Information Leak Prevention beschäftigen. Mit diesen Lösungen wird verhindert, dass besonders schützenswerte Daten einen (versehentlichen) Weg aus dem Unternehmen finden.
• Betreiber von Webapplikationen werden sich vermehrt dem Thema Intrusion Prevention stellen. Vor allem maßgeschneiderte Eigenentwicklungen sind empfindliche Angriffsziele, die dadurch geschützt werden.
• Betriebe, deren Mitarbeiter viel unterwegs sind, werden das Arbeitsmittel Notebook verstärkt unternehmensweit einsetzen wollen. Der sichere Einsatz mobiler Clients und mobiler Datenträger wird mehr zum Thema werden und Lösungen für Mobile Security und Datenverschlüsselung verlangen.
• Stark vernetzte Unternehmen werden immer mehr Daten via WAN oder Internet übertragen. Da die Latenzzeiten speziell ins entfernte Ausland oft sehr groß sind, werden sie sich in weiterer Folge mit WAN-Optimierung beschäftigen.

Mit welchen IT-Security Spezialthemen sich Unternehmen in der nächsten Zeit beschäftigen, hängt also sehr stark von den individuellen Vorhaben und dem individuellen Grad an IT-Security Bewusstsein ab. Darüber hinausgehend werden sich alle Unternehmen verstärkt mit der Nachvollziehbarkeit ihrer IT-Security Maßnahmen auseinandersetzen. Die zunehmenden Forderungen nach Compliance machen es notwendig, nachvollziehbare Belege möglichst automatisch erzeugen zu können.

www.bacher.at