Die dynamischen Veränderungen in Wirtschaft, Gesellschaft und Technik schaffen laufend neue Gefahren und Risiken im Bereich der Informationssicherheit. Kombiniert mit anderen begleitenden Ereignissen wie etwa Wirtschaftsspionage können sie sich zu einem stark unterschätzten Risiko entwickeln. Darum überrascht es nicht, dass der Informationssicherheit eine immer grössere Bedeutung auf wirtschaftlicher, gesellschaftlicher, politischer und rechtlicher Ebene zukommt.

Fälle wie beim Schweizer Nachrichtendienst (NDB) oder die NSA-Spionage zeigen auf, dass die realen Bedrohungen heute stark zugenommen haben. Auslöser können die eigenen Mitarbeitenden, untaugliches oder ganz fehlendes Risiko-Management, fehlende Mittel und Ressourcen für die Planung und Umsetzung der ­Sicherheits-Massnahmen, fehlende oder unzureichende Weisungen, mobile Endgeräte (BYOD), Cloud-Computing, soziale Netzwerke, falsche Zugriffsberechtigungen und unsichere Software-Applikationen sein.

Die Herausforderung besteht folglich darin, Daten und Know-how mit angemessenen technischen und organisatorischen Sicherheitsmassnahmen auf Basis einer zuverlässigen und möglichst vollständigen Risiko-Analyse zu schützen und ein ausgewogenes Gleichgewicht zwischen den Risiken, der Benutzerfreundlichkeit und den Kosten herzustellen.

Die Risiken steigen schnell

Die Risiken werden des weiteren mit Geschäftstätigkeiten im Ausland erhöht und nehmen schneller zu, als wir dies wahrnehmen möchten, sind komplexer und von grösserer Tragweite. Die grössten Gefahren sind fahrlässiger Datenverlust oder Datendiebstahl durch das eigene Fehlverhalten oder durch die eigenen Mitarbeitenden. Natürlich gilt es aus Sicht der Unternehmensleitung, die hohen Strategie-Ziele wie Flexibilität, Effizienz und Innovation umzusetzen. Gleichzeitig müssen aber auch die Kosten gesenkt, die Produktivität gesteigert und die Wettbewerbsfähigkeit verbessert werden. Und genau diese Unternehmens-Ziele können mit einer angemessen Sicherheits-Strategie mit weniger Risiken und höherer Agilität umgesetzt werden. Es ist wichtig zu verstehen, dass das Sicherheits-Fundament als IT-Grundschutz gut im Unternehmen verankert sein muss.

Wichtige Fragen zur Sicherheit

Folgende Fragen sollten Verwaltungsräte sich oder ihren CEOs stellen: Kennen Sie die Risiken und Schwachstellen Ihrer IT-Infrastruktur? Welchen Schaden kann eine Sicherheitslücke für Ihre Unternehmensreputation und Markenwahrnehmung bedeuten? Sind Ihre Mitarbeitenden genügend geschult und sensibilisiert in Bezug auf den Umgang mit Daten und dem Internet? Sind Ihre Sicherheits-Weisungen vollständig, aktuell und verständlich? Verfügen Sie über ein aktives Risiko-Management und ein Notfallkonzept?

Es lohnt sich, Zeit und Geld zu investieren, um Mitarbeitende für Sicherheitsrisiken zu sensibilisieren und klare Richtlinien aufzustellen. Denn die teuersten Firewalls und Security-Lösungen bringen nichts, wenn Mitarbeitende die Hintertüren durch ein falsches Verhalten für Cyber-Angriffe, durch die Verwendung von Dropbox etc. öffnen. Ziel ist, dass die Restrisiken bekannt sind und durch die verantwortlichen Stellen akzeptiert und getragen werden.

Wolfgang Sidler

Sidler Information Security GmbH

LINK

www.sidler-security.ch