In IT-Sicherheit wird viel investiert. Und dennoch hat man den Eindruck, dass es eher mehr als weniger Probleme gibt. So überraschend ist das aber nicht, wenn man sich anschaut, wie häufig investiert wird: Punktuell und ohne klare Strategie.

Damit werden dann aber oft nur einzelne Schwachstellen adressiert, während andere bestehen bleiben. Und gar zu oft ist man sich darüber nicht einmal bewusst, weil man nie einen ganzheitlichen Blick auf die Sicherheitsthematik gerichtet hat. Die beste SAP-Sicherheitslösung bringt nichts, wenn man nicht auch die Datenbank und das darunter liegende Betriebssystem schützt. Die Blockade von USB-Geräten bringt nichts, wenn man die Dateien einfach auch per Web-Mail versenden kann. Und vieles, was man im Bereich des Identity und Access Management macht, wird dadurch konterkariert, dass Anwendungsentwickler Kennwörter weiterhin munter unverschlüsselt in irgendwelchen Datenbanken speichern.

Die beste Maßnahme für mehr Sicherheit ist, sich erst einmal darüber klar zu werden, wo es Probleme gibt oder geben könnte. Dabei sind Ansätze wie das BSI-Sicherheitshandbuch oder die ISO-Norm 2700x Hilfsmittel. Sie ersetzen aber den gesunden Menschenverstand nicht. Auch Zertifizierungen helfen nur eingeschränkt, weil längst nicht alles erfasst wird – ganz abgesehen davon, dass man Sicherheit nicht als etwas begreifen darf, das man einmal im Jahr überprüft, sondern kontinuierliche Prozesse aufsetzen muss.

Basierend auf Analysen muss man Risiken bewerten – und zwar die Risiken für Informationen, Daten und dann die verarbeitenden Systeme. Diese Bewertung muss immer von der Information ausgehen, nicht von der Technologie, also vom I und nicht dem T in „Informationstechnologie“. Denn letztlich geht es um Informationssicherheit und der Schaden entsteht durch Missbrauch von Informationen und Transaktionen.

Wenn man das weiß, kann man Strategien entwickeln – für die Authentifizierung, die Autorisierung, die Speicherung von Identitätsinformationen, die Verschlüsselung von Informationen in unterschiedlichen Nutzungssituationen (Speicherung, Transport, Verarbeitung) und die Auditierung. Dabei geht es darum, den sinnvollen Mix von Maßnahmen entsprechend der „Bedrohungslage“ zu ermitteln und eben nicht punktuell in Einzelmaßnahmen zu investieren.

Das ist alles eigentlich auch ganz klar. Die Praxis zeigt aber, dass es viel zu selten konsequent gemacht wird. Ein viel zu großer Teil der heute entwickelten Anwendungen ist aus dem Blickwinkel der Sicherheit mangelhaft, es wird viel zu viel punktuell investiert und man denkt viel zu wenig über die Standard-Vorgehensweisen hinaus. Das Ergebnis sind die unschönen Situationen, in denen der Vorstand oder Geschäftsführer erbost fragt, warum ein Sicherheitsproblem entstehen konnte, wo man doch so viel Geld in die Hand genommen habe. Die ehrliche Antwort wäre leider nur zu oft: »Weil wir es falsch eingesetzt haben.«