Den Brückenschlag zwischen Sicherheit und geschäftlicher Effizienz meistern
Im Hinblick auf IT-Sicherheit gibt es auf Unternehmensseite seit jeher ein Spannungsfeld: Auf der einen Seite sollen die Schutzmaßnahmen für IT-Systeme und Anwender möglichst hoch sein, andererseits dürfen sie etablierte Geschäftsprozesse nicht über Maß beeinträchtigen – diese sollen ganz im Gegenteil sogar weiter vereinfacht werden. Viele IT-Teams – und insbesondere diejenigen in kleinen und mittleren Unternehmen mit wenig Ressourcen – stehen daher täglich vor immensen Herausforderungen. Sie müssen diese gegensätzlichen Prioritäten je nach Unternehmen, Bedrohungslage, Angriffsfläche oder sogar Tageszeit in Einklang bringen.
Um die richtige Balance zwischen einer starken Sicherheitslage und einem möglichst reibungslosen Tagesgeschäft zu finden, sollten sich Unternehmen daher zunächst mit dem Thema Risikomanagement beschäftigen. Denn generell geht es bei der Cybersicherheit darum, Risiken zu mindern und diese nicht vollständig zu beseitigen – denn letzteres ist gerade in einer vernetzten Welt unmöglich. Wie also können Entscheidungsträger ihre individuelle Risikogrenze bestimmen? Eine Möglichkeit stellt die Verwendung der folgenden, recht einfachen Gleichung dar: Risiko = Bedrohung x Anfälligkeit x Kosten. Die Realität ist zwar etwas komplizierter, aber damit lassen sich Risiken quantifizieren und priorisieren. Das Ziel ist, ein Gleichgewicht zwischen der Notwendigkeit einer verlässlichen Sicherheitsarchitektur und dem Wunsch nach Optimierung der Geschäftsprozesse zu finden.
Doch bevor ein Unternehmen sein Risiko managen kann, muss es dieses auch genauer kennen. Es gilt dabei im ersten Schritt, die vorhandenen Datenbestände zu bewerten, um einen Überblick zu erhalten, welche Daten überhaupt vorhanden sind und wo diese liegen. Im Anschluss folgt eine Analyse des Einflusses auf das Geschäft, um die Kritikalität der jeweiligen Informationen einzuschätzen. Zusammen bieten diese beiden Bewertungen einen guten Rahmen, um herauszufinden, wo die individuellen Risiken liegen.
Dazu ein Beispiel: Ein Online-Händler hat in der Regel sehr kritische Daten wie Kreditkarteninformationen und persönliche Informationen auf seinen E-Commerce-Servern gespeichert. Es liegt auf der Hand, dass solche Server unbedingt geschützt werden müssen, damit die entsprechenden Informationen nicht in die Hände von Hackern gelangen. Demgegenüber steht das hohe Interesse der Cyberkriminellen an genau solchen „Werten“. Entsprechend werden sie ihre Angriffe darauf konzentrieren. Für das Unternehmen heißt das, dass die Sicherheit hier Vorrang hat und einfache Zugriffsmöglichkeiten oder damit verbundene Effizienzüberlegungen hintenanstehen müssen.
Wenn dasselbe hypothetische Unternehmen jedoch einen FTP-Server für die Übertragung von Bildern verwendet, stellt dieser einen weniger kritischen Vermögenswert mit einem geringeren Angriffsrisiko dar. In diesem Fall kann der geschäftlichen Effizienz Vorrang eingeräumt werden.
Ein weiteres Beispiel für einen Bereich, in dem Unternehmen niemals Abstriche bei der Sicherheit machen sollten, sind die Zugangsmöglichkeiten zu bestimmten Ports der Administration. Gerade der Übergang zu hybriden Arbeitsmodellen könnte IT-Teams dazu verleiten, Management-Ports für das Internet zu öffnen, damit sie von überall aus zugänglich sind. Dies stellt jedoch in fast allen (wenn nicht allen) Fällen ein erhebliches Risiko dar. Es ist sicherlich unbequem und mit zusätzlichen Kosten verbunden, eine andere Lösung zu finden. Diese Aufwände verblassen aber angesichts des Risikos, wissentlich ein Schlupfloch für Angreifer offenzuhalten. Die negativen Folgen im Fall der Fälle – wie der Verlust an Daten, Geld und Ruf – sind unkalkulierbar.
Patches sind ein Paradebeispiel dafür, dass manche IT-Abteilungen oft der Sicherheit Vorrang vor der Effizienz einräumen. Wenn ein System gepatcht wird, kann es zwar für eine kurze, planbare Zeit ausfallen. Dafür legen kritische Day-One-Schwachstellen wie Log4j das Unternehmen unter Umständen für unbestimmte Zeit lahm. Aus diesem Grund sollten Patches sofort installiert werden. Es gibt jedoch auch Fälle, in denen die Sicherheitslücke oder die betroffene Software weniger kritisch ist. Hier kann es in Ordnung sein, den Patch erst zum nächsten geplanten Termin einzuspielen.
Um ihr Unternehmen umfassend zu schützen und dabei dessen Effizienz nicht zu beeinträchtigen, benötigen Sicherheitsexperten und IT-Teams ein grundlegendes Verständnis dafür, welche Risiken akzeptabel sind und welche nicht. Ohne dieses können sie nur raten, welche Maßnahmen die richtigen sind, und es wird schwer, das passende Gleichgewicht zwischen Sicherheit und Komfort zu finden.