Kapitel I: Informationssicherheit
(1) Schaff Klarheit und Transparenz
Ich habe schon sehr viele Gespräche mit Führungskräften und IT-Personal über IT-Security geführt.
Dabei ist mir klar geworden, dass große Unsicherheit vor allem darüber herrscht, was
denn für sichere Systeme und Prozesse notwendig sind. Auf die Frage „Was ist das größte IT-Risiko?“
bleiben viele Führungskräfte und Geschäftsführende eine Antwort schuldig. Sie wissen
es einfach nicht. Weil es ihnen nie jemand gesagt hat.
Risikobasiertes Vorgehen im Umgang mit Informationssicherheit hat sich im deutschen
Mittelstand noch nicht durchgesetzt. Dabei gibt es hierfür gute Frameworks. Ich sehe es als
elementare Aufgabe für mich und alle anderen Informationssicherheitsbeauftragten (ISB),
transparent und klar über Risiken aufzuklären – und zu beraten, diese so weit wie möglich zu
minimieren. Das geht nur mit Aufklärung und Verständnis; nur wer die Risiken kennt, kann auch
gute Entscheidungen für die Mitigation treffen. Das sollte sehr weit oben auf deiner To-do-Liste
stehen.
(2) Definier Verantwortlichkeiten
Wenn Du aus diesem Buch nur eine Sache mitnimmst, dann bitte diese: Die beste Basis für
zuverlässiges Security-Management schaffst Du, indem Du Verantwortlichkeiten definierst. Ich
erlebe in der Praxis sehr oft, dass Schwachstellen und Risiken genau darauf zurückzuführen
sind, dass sich niemand verantwortlich fühlt. Wer war noch gleich dafür zuständig, den letzten
Patch auf dem Datenbankserver einzuspielen?
(3) Verwechsle nicht Bedrohung und Risiko
In meinem Alltag als Beraterin fällt mir leider (noch) immer wieder auf, dass Bedrohung mit
Risiko verwechselt wird. Ein Thema, mit dem ich ganze Bücher füllen könnte – um hier den
Rahmen nicht zu sprengen, belasse ich es bei einer bewusst vereinfachten Definition:
Eine Bedrohung besteht, wenn ganz generell etwas passieren kann (zum Beispiel: ein
Wasserschaden im Rechenzentrum); ein Risiko entsteht daraus erst, wenn es eine Schwachstelle
gibt (zum Beispiel, wenn die Wasserrohre unmittelbar über den Serverracks verlaufen und
keine Leckage-Erkennung installiert ist).
Oder, anders ausgedrückt: Risiko = Bedrohung + Schwachstelle (bewertet mit
Eintrittswahrscheinlichkeit x Schadenshöhe) (anhand vorab festgelegter Risikoklassen).
… wenn Du weiterlesen willst, hole Dir unser kostenloses E-book: https://generation-secure.de/e-book/
