Was Analysten IT-Managern raten
Security- und Risikomanagement in 15 Schritten
Daten sind weit mehr als Nullen und Einsen - sie bilden heute einen Unternehmenswert. Um ihren Schutz zu gewährleisten, müssen Unternehmen den Umgang mit ihren digitalen Informationen neu justieren. Das verändert auch die Rolle des S&R-Chefs (Security and Risk).Die Analysten von Forrester Research raten in ihrem Papier "Top 15 trends S&R pros should watch" zunächst zu folgenden vier Maßnahmen:
Daten gehören in den Mittelpunkt: Weil Unternehmen ihre Daten immer besser vor Hackern und organisierten Banden schützen müssen, rücken die Daten selbst in den Mittelpunkt. Es geht also nicht mehr um den Blick auf das Netzwerk oder auf die Geräte oder die Nutzer. Unternehmen brauchen eine datenzentrierte Kultur.
Analytics als Sicherheitsinstrument: Viel wird über die Möglichkeiten gesprochen, mit Analytics das Kundenverhalten vorherzusagen oder neue Geschäftsfelder zu entdecken. Forrester betont, dass Analytics auch helfen sollen, Risiken vorherzusehen und Sicherheitsschwachstellen aufzudecken.
- Analyse der Informationssicherheit 2013
A.T. Kearney hat den Stand der Informationssicherheit 2013 analysiert. - Die Angreifer liegen immer vorn
A.T. Kearney sieht im Kampf um die IT-Sicherheit von Unternehmen immer die Angreifer vorn. Die Analysten verwenden folgende Abkürzungen: APT (Advanced persistent threat) umschreibt gezielte Angriffe mit hohem Aufwand; DLP steht für Data loss prevention (Schutz vor unbefugtem Daten-Kopieren) und SIEM für Security and event management. DDoS heißt Distributed denial of service (Angriff mit vielen Anfragen, um das System lahmzulegen; IDS (Intrusion detection system) umschreibt die Überwachung aller Netzwerk-Prozesse und IPS (Intrusion prevention system) das Melden verdächtiger Aktivitäten und den Versuch, diese zu blocken. DPI ist das Kürzel für Deep packet inspection (das Überwachen und Filtern von Datenpaketen). Die Grafik zeigt das Ping-Pong-Spiel von Angriffstechnologie und Schutzmechanismus. - Wie Angriffe ablaufen
Wie A.T. Kearney beobachtet, laufen Angriffe typischerweise in fünf Schritten ab. Zunächst wird das Opfer über soziale Netzwerke oder Anrufe identifiziert, um ihm dann Schadsoftware unterzuschieben. In Schritt drei übernimmt der Angreifer die Kontrolle. Er lädt Malware nach und kann seinen Machtbereich dadurch ausweiten. In Schritt vier zieht der Angreifer Informationen des Opfers ab, etwa Kundenlisten, Entwicklungsdaten oder anderes. Im fünften und letzten Schritt schließlich beseitigt er seine Spuren - und baut sich nicht selten noch eine Hintertür für neue Angriffe ein. - Die Angriffsmöglichkeiten in den Unternehmen
Vom Büro-Netzwerk bis zum Rechenzentrum - es lässt sich nicht verhindern, dass Unternehmen viele Angriffspunkte bieten. A.T. Kearney weist nicht nur auf digitale Kriminalität wie etwa Angriffe durch Cloud Computing hin, sondern auch auf ganz Handfestes: Vorstandsbüros seien häufig wenig gegen physischen Zugriff durch Reinigungspersonal oder Handwerker gesichert. - Zyklus der Informationssicherheit
Informationssicherheit sollte dem Plan-Do-Check-Act-Zyklus nach ISO 2700x folgen. Die erste Stufe (Plan - Planung und Konzeption) beinhaltet Risikoanalyse, Strategieentwicklung und die Auswahl der Sicherheitsmaßnahmen. Stufe zwei (Do - Umsetzung und Betrieb) umfasst den Realisierungsplan und die Umsetzung der Maßnahmen sowie Notfallpläne und Schulungen. Auf Stufe drei (Check - Überwachung und Kontrolle) erfolgen das Erkennen von Vorfällen und die Kontrolle der Wirksamkeit der gewählten Maßnahmen. Stufe vier (Act - kontinuierliche Verbesserung) sieht Fehlerbehebung und die Optimierung der Maßnahmen vor. - Angreifergruppen
Wer ein Unternehmen schützen will, darf nicht nur an externe Angreifer denken. Die Analysten von A.T. Kearney benennen fünf verschiedene Gruppen, die gefährlich werden können. Das sind zum Einen organisierte Verbrecher und Geheimdienste. Zum Anderen sind es Hacker, die möglicherweise schlicht und einfach aus Neugier fremde Systeme knacken. Cracker dagegen stehlen Kreditkartendaten; Hacktivisten sind politisch motiviert. Ein erhebliches Schadenspotenzial geht aber auch von Unternehmens-Insidern aus. A.T. Kearney erinnert an die berühmten Steuer-CDs.
S&R-Chefs werden auch im Kundenmanagement eine größere Rolle spielen: Der Verlust von Kundendaten kann sich massiv auf das Image eines Unternehmens und damit auf seinen Wert auswirken. Deswegen müssen S&R-Chefs mit dem Marketing zusammenarbeiten.
Risikomanagement integrieren: Genauso wenig wie ein Unternehmen Daten-Silos braucht, braucht es Risiko-Silos. Die Einteilung in operative Risiken, Informationsrisiken, Verfügbarkeit, Disaster Recovery und andere Bereiche ist für die tägliche Arbeit sinnvoll, Unternehmen müssen dennoch einen integrierten Blick auf das Risikomanagement entwickeln.
In einem so gestalteten Umfeld skizziert Forrester die Arbeit eines Risiko- und Sicherheitsverantwortlichen. Die Trends und Herausforderungen, die seine Arbeit beeinflussen, fassen die Analysten in folgenden Punkten zusammen.