Gastkommentar: Sicherheit ist vielschichtig

Security: Warum Punktlösungen nichts bringen, Strategien aber schon

1. April 2010, 10:37 Uhr | Lars Bube
Martin Kuppinger, Gründer des Analystenunternehmens Kuppinger Cole, und Experte für Identity und Access Management, Governance, Risk Management, Compliance sowie Cloud Computing und Virtualisierung.

In IT-Sicherheit wird viel investiert. Und dennoch hat man den Eindruck, dass es eher mehr als weniger Probleme gibt. So überraschend ist das aber nicht, wenn man sich anschaut, wie häufig investiert wird: Punktuell und ohne klare Strategie.

Damit werden dann aber oft nur einzelne Schwachstellen adressiert, während andere bestehen bleiben. Und gar zu oft ist man sich darüber nicht einmal bewusst, weil man nie einen ganzheitlichen Blick auf die Sicherheitsthematik gerichtet hat. Die beste SAP-Sicherheitslösung bringt nichts, wenn man nicht auch die Datenbank und das darunter liegende Betriebssystem schützt. Die Blockade von USB-Geräten bringt nichts, wenn man die Dateien einfach auch per Web-Mail versenden kann. Und vieles, was man im Bereich des Identity und Access Management macht, wird dadurch konterkariert, dass Anwendungsentwickler Kennwörter weiterhin munter unverschlüsselt in irgendwelchen Datenbanken speichern.

Die beste Maßnahme für mehr Sicherheit ist, sich erst einmal darüber klar zu werden, wo es Probleme gibt oder geben könnte. Dabei sind Ansätze wie das BSI-Sicherheitshandbuch oder die ISO-Norm 2700x Hilfsmittel. Sie ersetzen aber den gesunden Menschenverstand nicht. Auch Zertifizierungen helfen nur eingeschränkt, weil längst nicht alles erfasst wird – ganz abgesehen davon, dass man Sicherheit nicht als etwas begreifen darf, das man einmal im Jahr überprüft, sondern kontinuierliche Prozesse aufsetzen muss.

Basierend auf Analysen muss man Risiken bewerten – und zwar die Risiken für Informationen, Daten und dann die verarbeitenden Systeme. Diese Bewertung muss immer von der Information ausgehen, nicht von der Technologie, also vom I und nicht dem T in „Informationstechnologie“. Denn letztlich geht es um Informationssicherheit und der Schaden entsteht durch Missbrauch von Informationen und Transaktionen.


  1. Security: Warum Punktlösungen nichts bringen, Strategien aber schon
  2. Konsequente Strategien statt Geldverschwendung

Lesen Sie mehr zum Thema


Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Kuppinger Cole

Matchmaker+