Entweder man plant richtig oder hat später viel mehr Aufwand für die Umsetzung . Dies ist eine der Grundregeln, die man unter anderem beim Projektmanagement lernt . In der IT-Sicherheit wird diese Regel aber gar zu oft ignoriert. Dabei kann man gerade damit viel sparen – vor allem mit einer strategischen Planung. Vieles, was DLP-Produkte können, kann man auch mit den Gruppenrichtlinien von Windows adressieren. Und unter dem Schlagwort Endpoint Security/Protection gibt es teils deutlich umfassendere Lösungsansätze, die das gesamte Spektrum der Client-Sicherheit mit zentralem Management zu adressieren versuchen.
Ein zweites Feld, in dem nicht nur häufig der Mangel an Planung, sondern auch die Konsequenzen fehlender Gesamtkonzepte besonders deutlich werden, sind hardware-basierende Authentifizierungsmechanismen, also Smartcards, Generatoren für Einmal-Kennwörter und andere Tokens. Die Einführung solcher Lösungen verursacht nicht nur oft erhebliche Anschaffungskosten, sondern ist wie auch der Betrieb mit erheblichen Aufwänden verbunden.
Unter dem Stichwort versatile Authentication gibt es einen durchaus interessanten Trend, unterschiedliche Authentifizierungsmechanismen über eine Plattform für verschiedene Anwendungen verfügbar und austauschbar zu machen, um diese besser nutzen zu können. Noch effizienter wird es aber, wenn man es schafft, in einem Unternehmen genau ein Kartenprojekt zu haben, also insbesondere die physische Zugangssicherheit und die IT-Sicherheit (und vielleicht noch andere Bereiche wie die Zahlung in der Kantine) mit einem integrierten Ansatz zu adressieren. Damit lassen sich Logistik- und Managementkosten in erheblichem Umfang einsparen.
Oft scheitert das aber schon an unterschiedlichen Zuständigkeiten und daran, dass man an einer Stelle schon mit einem isolierten Projekt begonnen hat – auch das hat (unter anderem) mit mangelnder Planung zu tun. Denn eine umfassende Sichtweise auch über den Tellerrand des aktuellen Projekts hinaus ist ein Kernmerkmal zumindest der strategischen Planung.
Die Liste lässt sich mühelos verlängern. IT-Sicherheit ist in vielen Bereichen davon geprägt, dass man bei auftretenden Problemen taktische Lösungen umsetzt, ohne eine Gesamtstrategie zu haben. Dazu tragen unterschiedliche Zuständigkeiten ebenso wie die Komplexität und Vielschichtigkeit des Themas bei. IT-Sicherheit reicht eben von der physischen Sicherheit bis hin zur Anwendungssicherheit. Und das Thema ist mit wachsender Mobilität und immer mehr unterschiedlichen Geräten in den vergangenen Jahren auch deutlich komplexer geworden – die klassische Perimeter-Sicherheit reicht schon längst nicht mehr aus.
Gerade wegen dieser Komplexität ist es aber wichtig, eine Gesamtsicht auf das Thema zu entwickeln, es über die Grenzen von organisatorischen Silos hinweg zu betrachten und vor Investitionen genau zu überlegen, ob diese auch in einer Gesamtsicht Sinn machen. Denn mit wenigen durchgängigen und gut verwalteten Ebenen der Sicherheit erreicht man mehr als mit vielen Punktlösungen. Und mit richtiger Planung und einer Strategie kann man gerade in Zeiten knapper IT-Budgets auch mehr erreichen als mit taktischen Investitionen, mit denen man versucht, einzelne (vermutete oder reale) Sicherheitslöcher zu stopfen.