IT Security Software – kein Ersatz für Risikomanagement

Geschäftsführer mittelständischer Unternehmen kennen diese Situation: Die Nachrichten über Ransomware-Angriffe und gekaperte Unternehmens-IT reißen nicht ab. Es gibt sie also tatsächlich: Immer neue Varianten der digitalen Geiselnahme, inklusive Lösegeldforderungen. Auf der anderen Seite gibt es immer mehr Software-Hersteller, die Komplettlösungen für Cybersecurity und Compliance anpreisen – teilweise sogar „as a Service“ als cloudbasierte Plattformlösung. Ist das der Ausweg?

Sie ahnen es bereits: Die Sache hat einige Haken. Klar ist: Es ist heute absolut notwendig, die Tatsache der Verletzlichkeit von IT-Systemen im Unternehmen zu akzeptieren und zu adressieren. Eine „Augen zu und durch“-Haltung kann sich keiner leisten. Doch zum anderen gibt es eine gültige Gesetzeslage. Und diese bewertet nicht primär die eingesetzten Technologien für IT-Sicherheit, sondern arbeitet mit dem Risikobegriff – und legt außerdem gesteigerten Wert auf den behutsamen Umgang mit personenbezogenen Daten.

Warum Security-Software kein Risikomanagement ersetzt

Die Realität im Mittelstand ist eine IT, die in Teilen auf Cloudlösungen zurückgreift, verschiedene Ressourcen in lokalen Rechenzentren abbildet und zudem eine Vielzahl von Endpoints und Clients verwalten können muss. Wer seine Daten mit Softwarelösungen absichern möchte, muss den Softwarelösungen einen Zugriff auf diese Strukturen gewähren. Das bedeutet zwei Dinge:  

• Erstens wird die Art und Weise, wie die gewählte Security-Software verschiedene Daten verarbeitet – z.B. verschlüsselt oder unverschlüsselt – selbst zum Risiko, das eingeschätzt und gestaltet werden muss. Und da es keine Software ohne Benutzer gibt, sind außerdem auch die Zugriffsrechte ein Thema. 
• Zweitens ist eine Softwarelösung kein vollständiger Ersatz für ein effektives Risikomanagement. Risikomanagement bedeutet, den Schutzbedarf verschiedener Daten zu ermitteln und dementsprechende Lösungen zu deren Schutz daraus abzuleiten.  

 Jetzt kommt der springende Punkt: Nur wer ein dokumentiertes Risikomanagement vorweisen kann, hält auch möglichen Prüfungen durch Behörden und DSGVO-Anwälten stand. Die Antwort „Das lösen wir über Security-Software“ ist niemals ausreichend. So ist z.B. ein effektives Berechtigungsmanagement, das nach dem Minimal-Prinzip und Need-to-know-Prinzip aufgebaut ist, eine unverzichtbare Sicherheitsmaßnahme, die man sich aber nie fertig einkaufen kann.  
 
Das bedeutet, dass verantwortliche Geschäftsführer und Vorstände einen Prozess etablieren müssen, um ihre eigenen Risiken zu kennen und zu bewerten. Und dabei müssen nicht nur die eigenen Technologien in Betracht gezogen werden, wie etwa gesteuerte Updates und Patching-Routinen für Produktivsoftware und Betriebssysteme oder Firewalls für das Netzwerk.  
 
Es geht auch um Fragen wie: „Wie seriös gehen meine Fachabteilungen mit dem Thema Datenschutz um und wie kann ich dabei unterstützen, dass das richtige Bewusstsein herrscht und täglich angewandt wird – beim Empfangen und Versenden von Mails mit Anhang bis hin zur Dokumentenablage und Datenspeicherung im lokalen Netzwerk und in der Cloud?“ Denn Studie um Studie zeigt: Eine große Schwachstelle in den Systemen ist und bleibt der Mensch.

Der Lohn der zusätzlichen Mühen: Glasklare Marktvorteile 

Der Lohn solcher Mühen, die über IT Security Software hinaus zeigen, sind auch glasklare Marktvorteile. Gerade mittelständische Unternehmen, die als Teile von Lieferketten fungieren, können sich über eine ISO 27001-Zertifizierung oder TISAX-Zertifikate im Automobilsektor als verlässlicher Marktpartner präsentieren. Und die Voraussetzung für diese Zertifizierungen sind ein belastbares Risikomanagement und dokumentierte Maßnahmen für Informationssicherheit im Unternehmen.  
 
Hier stellt sich die Frage: Wie startet und etabliert man einen solchen Prozess? Eine wertvolle Hilfe ist das Grundschutzkompendium des Bundesamts für Informationssicherheit (BSI). Zunächst wirkt das Konstrukt vielleicht abschreckend mit seinen knapp 900 Seiten Umfang. Doch die gute Nachricht ist: Niemand muss jemals den gesamten Katalog benutzen. Es handelt sich dabei um ein Nachschlagewerk, das den Gefährdungslage für verschiedene Technologien und Infrastrukturen sowie die verschiedenen Teile der Unternehmensorganisation aufzeigt und geeignete Maßnahmen zur erfolgreichen Mitigation dieser Gefährdungen gestaffelt nach Schutzbedarf vorgibt.  

Das bedeutet: Ein mittelständisches Unternehmen kann seine eigene IT-Landschaft analysieren, dokumentieren und den Schutzbedarf der verwendeten Technologien nebst Schutzmaßnahmen mit Hilfe des Grundschutzkompendiums ermitteln. Um zu illustrieren, wie der Katalog arbeitet, ein Beispiel aus dem Kapitel „Basis-Anforderungen“ zum Thema „Sichere Konfiguration der E-Mail-Clients“. Dort heißt es beispielsweise: „Bevor Dateianhänge aus E-Mails geöffnet werden, MÜSSEN sie auf dem Client von einem Schutzprogramm auf Schadsoftware überprüft werden, sofern dies nicht bereits auf dem E-Mail-Server geschieht.“

Klarheit erleichtert die Wahl der richtigen IT Security Software

Wer ein dokumentiertes Risikomanagement für alle relevanten Gefährdungslagen nach diesen Systemen aufbaut, dokumentiert und nachweisen kann, kann auch eine Zertifizierung nach einem der o.g. Sicherheitsstandards anpeilen. Doch damit nicht genug: Wenn das System für Informationssicherheit im Grundaufbau steht, ist es auch viel leichter, eine Softwareentscheidung zu treffen. Denn nun lautet die Frage nicht mehr: Welche Software löst alle meine IT-Security-Probleme? Sondern sie kann viel spezifischer – und damit richtig – gestellt werden, wie beispielsweise: Wie kann ich die Authentifizierung der Zugriffe auf mein VPN-Netzwerk sicherstellen?  

Und nicht zuletzt ist ein strukturiertes Risikomanagement immer auch ein Begleiter für Innovationsprozesse wie beispielsweise eine Migration in die Cloud. Die etablierten Prozesse, die sich beispielsweise für die Konfiguration des Microsoft Exchange Servers im lokalen Rechenzentrum ergeben haben, können bei der Migration auf Microsoft 365 neugestaltet werden – oftmals schlanker und effizienter als zuvor.  

Unter dem Strich gilt daher: IT Security und auch abgesicherte IT-Innovation setzen immer erst einen Bewusstseins-Sprung und Erkenntnisgewinn sowie dokumentierte Prozesse im eigenen Unternehmen voraus. Und durch die Mühe, die in die Sorgfalt fließt, kann später schnelleres Handeln bei Migrationen gestützt werden. Unsere matrix technology IT-Strategie und Informationssicherheit Consultants helfen Ihnen gerne dabei, den richtigen Weg einzuschlagen und die individuell passenden Lösungen zu finden!