Nur reale Probleme lassen sich lösen
Gartner: Sicherheits-Mythen behindern IT-Security
Wie überall gibt auch es in der IT-Security Mythen, die sich hartnäckig halten. Gartner hat nun einige dieser zusammengestellt. Denn um diesen irrigen Meinungen nicht zum Opfer zu fallen, muss man sie als solche entlarven.
Sicherheit hat nicht nur etwas mit dem Schutz vor realen Bedrohungen zu tun. Es ist vielfach auch ein subjektives Gefühl, geschützt zu sein Gerade deshalb ist es wichtig, zwischen tatsächlichen Bedrohungen und solchen, die man nur empfindet, zu unterscheiden. Die Gartner-Analysten Andrew Walls and Eric Ouellet haben jetzt einmal zusammengefasst, was im Security-Bereich alles an Mythen kursiert: In ihren Augen ist es etwa Unsinn, zu glauben, dass die Hacker die Schlacht gegen die Sicherheitsanbieter über kurz oder lang sowieso gewinnen. Zu den Irrtümern gehört auch, dass die Zahl der Sicherheitsvorfälle somit in jedem Unternehmen automatisch stetig zunimmt. Denn die Sicherheit von Anwendungen und Betriebssystemen liegt eben nicht in der Verantwortung der jeweiligen Hersteller, sondern bei den IT-Verantwortlichen und teilweise auch bei den Nutzern.
Genauso falsch ist es, zu glauben, wenn ein Unternehmen die gesetzlichen Auflagen erfülle, habe es in puncto Sicherheit ausgesorgt. Die Hacker helfen der Branche nicht, Schwachstellen und Gesetzeslücken aufzudecken, sondern nutzen diese heimlich und so lange wie möglich aus. Es stimmt auch nicht, dass eine funktionierende Sicherheit unbedingt das Geschäft beeinträchtig. Auch ein purer Aktionismus hilft nicht: Die Qualität der Sicherheit erhöht sich nicht automatisch, wenn einfach entsprechend viel Geld und Leute dafür eingesetzt werden. Dazu muss es auch klare Anforderungen, Konzepte und Richtlinien geben. Soweit die Liste dessen, was Gartner als grobe Fehleinschätzungen bezeichnet.
Zum Schluss geben die Analysten aber auch konkrete Handlungsempfehlungen, um nicht Fehleinschätzungen auf Basis solcher Mythen zu treffen: Die Sicherheitsverantwortlichen sollten sich auf reale Bedrohungen konzentrieren. Es gilt dafür zu sorgen, dass Sicherheit das Geschäft antreibt und es nicht behindert. Eine rein reaktive Haltung genügt heute nicht mehr. Die Verantwortlichen sollen ihre Aufgabe offensiv angehen. Wichtig ist es dabei, die Mitarbeiter innerhalb ihres Unternehmens aufklären und Fehlurteile abbauen.
