Schließen

Passwort vergessen?
Datenschutz und E-Security. Roboter mit Schutzschild

Newsübersicht

Datensicherheit

IT Sicherheit in vielen Unternehmen noch Stiefkind

News: Datensicherheit

Analyse schwerer Fällen von Computerkriminalität offenbart eklatante Sicherheitslücken. KCP sieht die Ignoranz vieler Unternehmen als Ursache.

Das Münchner Analystenhaus KuppingerCole & Partner (KCP) nimmt eine aktuelle Untersuchung schwerer Fälle von Computerkriminalität zum Anlass, den laxen Umgang vieler Unternehmen mit der IT-Sicherheit zu thematisieren. "Für diese Situation gibt es aus meiner Sicht vier wesentliche Gründe. Der erste ist, dass Sicherheit als Thema nicht ausreichend ernst genommen wird. Das geht vom Unwissen über die Ignoranz bis hin zum Ausblenden von Sicherheitsrisiken" resümiert Martin Kuppinger das Ergebnis seiner ernüchternden Ursachenforschung.

Hauptproblem ist demnach das Primat des Business, welches dazu führt, dass Sicherheit häufig als lästiges IT-Thema abgetan wird. Entsprechende Projekte werden häufig zusammengestrichen, bis von einst wohldurchdachten Konzepten nur noch Checklisten übrigbleiben, deren Abarbeitung bestenfalls als Datensammlung dienen kann. Checklisten ersetzen keineswegs einen umfassenden Lösungsansatz. Ausrichtungen nach BSI-Grundschutz oder ISO 2700x, die bei der Gestaltung von Sicherheitskonzepten helfen, oder eine TÜV-Zertifizierung zur Überprüfung des Ist-Zustandes werden als überzogen vom Tisch gewischt und Mahnungen werden ignoriert - bis der Schadensfall eintritt.

Typisch ist Kuppinger zufolge auch, dass man keine oder kaum abgestufte Sicherheitskonzepte findet. "Sicherheit muss bei der Information beginnen – denn IT hat nicht in erster Linie mit Technologie, sondern mit den zu verarbeitenden und damit auch zu schützenden Informationen zu tun. Das Wissen darum, welche Information und (als Konsequenz daraus) welche Systeme wie zu schützen sind, ist die Grundlage jedes Sicherheitskonzepts."

Quintessenz von Kuppingers Überlegungen ist die Forderung nach einem Schulterschluß zwischen IT und Business. Beide Bereiche müssen zusammenarbeiten, um durchdachte Sicherheitskonzepte zu entwickeln - nur die ausgewogene Beurteilung aller Sicherheitsrisiken und die kontinuierliche Überprüfung der etablierten Sicherheitkonzepte ermöglichen sinnvolle Investitionen in die IT Sicherheit und die fortlaufende Minimierung möglicher Risiken. (Peter Schill)

Zurück