Ausgaben sollten sich am Sicherheitsrisiko orientieren

13. Dezember 2006, 20:27 Uhr | | Kommentar(e)

Die Zahl der Gefahren für die IT-Security nimmt stetig zu

Welche Bedrohungen im eigenen Unternehmen welches Unheil anrichten würden und wie hoch das relative Risiko eines weit reichenden Vorfalls ist, können trotzdem bisher nur wenige IT-Manager genau sagen.

Basistechnologien wie Firewalls und Virenscanner sind inzwischen Standard. Die Mehrheit der Unternehmen verfügt nach eigenen Angaben sogar über eine IT-Security-Strategie. Eine strukturierte Risikoabschätzung gehört nur in wenigen Fällen dazu. Dies zeigt die Befragung von mehr als 450 Unternehmen, die Lündendonk im vergangenen Jahr in Deutschland in Zusammenarbeit mit Computer Associates durchführte. Das Resultat: Nur 41 Prozent aller befragten Firmen hatten eine strukturierte Risikoanalyse durchgeführt. Eine überraschend geringe Quote, denn schließlich geht es darum, das unternehmerische und wirtschaftliche Risiko bewerten zu können.

Eine Risikoanalyse, verbunden mit internen und externen Sicherheitsaudits, hilft ebenfalls, vorhandene Schwachstellen zu erkennen, Budgets und personelle Ressourcen zielgerichtet einzusetzen. Auf diese Weise wird der Erfolg einer IT-Security-Strategie auch messbar.

Wichtige Faktoren für Effizienz
Im Rahmen der Erhebung wurden die Unternehmen auch nach ihrer Einschätzung zu den wichtigsten Faktoren effizienter IT-Sicherheit befragt. An erster Stelle haben sie die »Sicherung des firmeneigenen Netzwerks« genannt, gefolgt von »Zugangs-/Zugriffsüberwachung«, »Filterung und Anti-Virenstrategie« sowie »Definition, Überwachung und Einhaltung von Richtlinien« und »zentrales Security-Management«.

Diese Faktoren unterstreichen, dass erst das Zusammenspiel aus Security-Technologien, -Richtlinien und -Prozessen zu einem durchgängig hohen Sicherheitsniveau führt. Allerdings zeigt sich beim Vergleich der Ergebnisse nach Unternehmensgröße ein Nachholbedarf kleinerer Organisationen. Sie liegen bei der Umsetzung aktueller IT-Sicherheitsrichtlinien und deren Überwachung sowie beim zentralen Security-Management zurück.

Zentrales Management
Derzeit ist eine starke Nachfrage nach Access- und Identity-Management-Lösungen zu verzeichnen, die in übergreifende Security-Management-Lösungen integriert werden. Diese Lösungen versetzen Unternehmen in der Lage, die IT-Security-Strategie stärker an den Geschäftsprozessen auszurichten. Denn der Zugriff auf Applikationen erfolgt nur dann, wenn der Benutzer authentifiziert ist und die erforderlichen Rechte hat.

Auch unter Produktivitäts- und Kostenaspekten gewinnt das Access- und Identity-Management an Bedeutung, denn ein höherer Automatisierungsgrad bei der Benutzer- und Rechteverwaltung reduziert den täglichen Administrationsaufwand erheblich.

Umdenken erforderlich
Für Unternehmen werden sich durch das stärkere Ineinandergreifen von Security-Werkzeugen und -Prozessen neue Herausforderungen ihrer Security-Organisation ergeben. In vielen Fällen werden Firmen gezwungen sein, ihre IT-Sicherheitsrichtlinien und -prozesse zu überarbeiten. Denn deren Qualität und wirksame Umsetzung erweisen sich in der Praxis immer wieder als Schwachpunkt – nicht zuletzt auf Seiten der Mitarbeiter, an deren Verantwortung für die Sicherheit des Unternehmens kontinuierlich erinnert werden sollte.

Dies sollte jedoch auf Basis einer Risikoanalyse erfolgen. Denn eine transparente Analyse der möglichen Gefahren ist eine wichtige Grundlage, die Investitionen zielgerichtet in Mitarbeiter, Prozesse und Technologien einzusetzen.


Anbieterkompass