Haben Sie einen funktionierenden IT-Sicherheitsprozess in Ihrer Organisation eingeführt, so führen Sie IT-Sicherheitstechnologien auf Grundlage eines systematisch erfassten Bedarfs ein. Die organisatorischen Konsequenzen der IT-Sicherheitstechnologieeinführung sind jedoch für den Erfolg beziehungsweise Misserfolg einer IT-Sicherheitstechnologie entscheidend.
Selbst wenn die IT-Sicherheitstechnologie ein tatsächliches, systematisch erfasstes Risiko adressiert, werden oft die für den Technologiebetrieb notwendigen Prozesse und Ressourcen außer Acht gelassen. Dabei finden sich laut wissenschaftlichen Studien hier die wahren Kostentreiber der Technologieeinführung.
Außerdem werden Lösungen oft entweder ohne den Nutzer im Hinterkopf oder mit einem unrealistischen, ungeprüften Nutzerbild eingeführt. So wird häufig darauf abgezielt, in sich maximal gehärtete Lösungen einzuführen, wobei jedoch zwei wichtige Aspekte häufig missachtet werden: Zum einen können solche Lösungen Nutzer schnell an ihrer Arbeit hindern. Zum anderen kann die Risikoaffinität der Nutzer den Einsatz einer in ihren Augen umständlichen Technologie unter Umständen nicht rechtfertigen.
Das Erlebnis der Nutzer stimmt dann häufig nicht mit dem Risikoerlebnis der IT-Sicherheitsexperten überein. Die Konsequenzen sind gravierend: Entweder wird die IT-Sicherheitstechnologie nicht verwendet oder entsprechenden Maßnahmen wird zukünftig mit erhöhtem Misstrauen begegnet.
Schlussendlich sollte bei der IT-Sicherheitstechnologieauswahl, wie bei jeder Technologieauswahl, auch der Entwicklungsprozess selbst berücksichtigt werden. So wird IT-Sicherheit beispielsweise in der Softwareentwicklung oft nicht oder nicht systematisch berücksichtigt. Dabei könnten bereits spielerische Maßnahmen wie die Verwendung des »Elevation of Privileges«-Kartenspiels einen Beitrag zu einem sicheren Softwareprodukt leisten. Berücksichtigt man dies nicht, hat jede Software, die man sich zur Gewährleistung der eigenen IT-Sicherheit einkauft, selbst das Potenzial, zusätzliche IT-Sicherheitsrisiken einzubringen. Darum kann es sich lohnen, vor der Anschaffung entsprechende Maßnahmen im Entwicklungsprozess des Herstellers zu erfragen.
Denken Sie immer noch, dass Sie mit Technologie Ihre IT-Sicherheitsprobleme lösen können?
Fassen wir also abschließend zusammen: Schadsoftware erreicht das Unternehmen über Verwundbarkeiten in Software und über die Mitarbeiter. Die Verwundbarkeiten der IT-Systeme werden selbst bei Bekanntheit unter Umständen nicht ausgebessert, sofern kein systematischer Prozess existiert, mit welchem entsprechende Risiken erfasst werden. Technologien und Maßnahmen, für die sich ohne einen entsprechenden Sicherheitsprozess entschieden wird, sind potenziell überflüssig oder unzureichend. Und selbst eine Zertifizierung entbindet nicht davon, die notwendigen Ressourcen für die Durchführung des IT-Sicherheitsprozesses auch tatsächlich bereitzustellen.
Entscheidet man sich auf Basis des systematisch ermittelten Risikos für die Einführung von Technologien und Maßnahmen, so dürfen dabei nicht die organisatorischen Konsequenzen und die Wahrnehmung der internen Kunden außer Acht gelassen werden. Gerade letztere sind der maßgebliche Faktor, welcher zum Erfolg oder Misserfolg einer Maßnahme beiträgt. So bleibt von der Technologie am Ende nur wenig übrig.
Oder wie Bruce Schneier es bereits 2000 ausdrückte: “No system is perfect; no technology is The Answer“.
Vielen Dank an meinen Kollegen Dr. Michael Kubach für die anregenden Gespräche und seinen Beitrag in der Erstellung dieses Blogbeitrags.
Leselinks:
- Cybersicherheit: Technisch top – Menschlich flop – Teil 1: Die Organisation
- Transaktionskostenanalyse der Integration eines föderierten Identitätsmanagementsystems.pdf (http://cs.emis.de)
- Elevation of Privileges-Kartenspiel (www.microsoft.com)
- Alle Blog-Beiträge zum Thema »Disruption«
- Leistungsangebot »Tragfähige IT-Sicherheit«