✅ Quo Vadis: IT-Sicherheit im Jahr 2023
Laut dem Bitkom ist die Sicherheit stark bedroht und der Großteil der Wirtschaft von Angriffen, indirekten Szenarien und dauerhaften Gefahren betroffen.
In reinen Zahlen aus einer großen Umfrage des Bitkom aus dem Jahre 2021 bedeutet, dass 80-90% Prozent der Unternehmen direkten Gefahren ausgesetzt sind.
Quelle: https://www.bitkom.org/Kurzpositionen/Cybersicherheit-Sicherheitstechnologien
Die gestiegenen Schadenssummen im letzten Jahr 2022 und auch im aktuellen Jahr sind ein Beleg dafür, dass dies keine Fehleinschätzung ist.
Was sind somit zentrale Kern-Fragen:
- Wie kann das Unternehmen dauerhaft mit hoher Qualität geschützt werden?
- Wie kann der Geschäftsbetrieb ohne hohe Risiken betreiben?
- Welche Maßnahmen sind kurzfristig, mittelfristig und langfristig umsetzbar?
- Welche Abteilungen müssen in die Sicherheitsplan-Konzeption eingebunden werden?
Im Jahr 2023 ist es unsicherer als jemals zuvor. IT-Sicherheit zu gewährleisten, Maßnahmen zur dauerhaften Stabilisierung zu entwickeln und ins Unternehmen zu integrieren und alle Aspekte abdecken zu können, sind die wesentlichen Herausforderungen.
💡 Inventarisierung leicht gemacht
Kombiniert Hardware, Lizenzen, Verträge, Bestellungen und vieles mehr in einem System.
🎭 Rollen und Positionen im Kontext der IT-Sicherheit
Die IT-Sicherheit ist ein sehr komplexes Thema und wird über die verschiedenen Rollen und Positionen im Unternehmen sehr differenziert bewertet.
Welche Rollen spielen bei der Betrachtung, Bewertung und Analyse der Cybersicherheit eine Rolle:
- Sicherheitsverantwortliche
Konzeption und Durchführung sind primäre Kriterien der Rolle. Personen, die Kenntnisse über IT-Systeme oder aktuelle Technik-Trends haben oder im Rahmen des Unternehmens die Prozesse sehr gut kennen, bieten sich dafür an.
- Sicherheitsbefohlene
Alle restlichen Personen halten sich weisungsgebunden und werteorientiert an die Regelungen und führen diese nach bestem Wissen und Gewissen aus.
Beide Rollen haben stark unterschiedliche Motivationen, die sich zusätzlich noch durch die Position im Unternehmen verändern.
Folgende generellen Positionen sind daher von Interesse:
- Geschäftsführung
Primäre Ziele sind die Gewährleistung des Geschäftsbetriebs auf allen Ebenen. Das Zusammenspiel der Abteilungen, die Einhaltung der zentralen KPIs und verschiedene operative Tätigkeiten obliegen diesem Bereich.
- Abteilungsleiter
Je nach Bereich muss die Abteilung Ihre zentralen Aufgaben erfüllen und dabei das Unternehmen, dessen Wettbewerbsfähigkeit und das Zusammenspiel zwischen den Abteilungen funktionieren.
Der Abteilungsleiter hat hierbei die Kontroll- und Verwaltungsaufgabe diese Aspekte im Blick zu haben und dabei die Kernziele des Unternehmens zu unterstützen.
- IT-Mitarbeiter
Durch die immense Bedeutung der Digitalisierung in quasi jedem Geschäftsprozess haben die IT-Mitarbeiter nochmals eine gesonderte Rolle. Die Einhaltung von technischen Standards, die Gewährleistung von operativen Themen und die Durchführung von IT-Tagesaufgaben obliegt den IT-Kollegen.
- (Alle) Mitarbeiter
Die Umsetzung der Vorgaben der Abteilungsleiter, der Unternehmenszentrale oder anderen Leitlinien ist das primäre Ziel aller Mitarbeiter.
Vielfach wird auch auf den Einsatz eines CISO (Chief Information Security Officers) gesetzt, der sich zentral um die digitale Sicherheit kümmert. Meist kommt der CISO bei mittleren bis großen Unternehmen (> 500 Mitarbeiter) zum Einsatz, da hier die nötigen finanziellen Mittel zur Verfügung stehen.
🎙 Podcast "The World of IT-Security"
Die suresecure GmbH aus Düsseldorf hatte CTO Alexander van der Steeg zum Gespräch in Ihren Podcast "The World of IT-Security" eingeladen. Thema war "Der Sockel des Schutzes: Assetmanagement als Grundlage für eine effektive Informationssicherheit" und welchen Einfluss IT-Asset-Management auf die IT-Security in der heutigen Zeit hat.
Auf allen gängigen Podcast Plattformen könnt Ihr diese Folge anhören:
Vielen Dank an die suresecure GmbH, speziell an Philipp Lessig und Annika Gamera, hierbei für die Möglichkeit über das wichtige Thema sprechen zu können und einen interessanten Austausch für die breite Masse anbieten zu können.
💣 Verantwortlichkeit je Rolle und Position
In diesem Spannungsfeld ergeben sich automatisch Unterschiede in der Wahrnehmung der Verantwortlichkeiten. Per se ist erstmal jeder Mitarbeiter Teil des Sicherheitskonzeptes und muss Qualifizierungsmaßnahmen durchführen und sich über die aktuellen Standards informieren. Das Einfallstor Nummer 1 ist immer noch der Mitarbeiter selbst und nicht unbedingt die IT-Infrastruktur.
Hierbei ist die Position im Unternehmen vollkommen unerheblich, da ein Hack genauso einem Geschäftsführer, einem IT-Mitarbeiter aber auch in jeder anderen Position geschehen kann.
Die beiden zentralen Rollen waren: Sicherheitsverantwortlicher und Sicherheitsbefohlener.
✅ Was sind die Aufgaben des Sicherheitsverantwortlichen?
Die zentralen Aufgaben sind:
- Beratung der Geschäftsführung im Rahmen des IT-Gesamtkonzepts
- Definition eines Standard-Katalogs für den IT-Schutz des Unternehmens
- Ausarbeitung und Aktualisierung aller Schutz-Maßnahmen für ein hohes zukünftiges Sicherheitsniveau
- Berücksichtigung aller Beteiligter innerhalb und außerhalb der betroffenen Unternehmensprozesse zur Erhöhung des allgemeinen Sicherheitsniveaus
- Definition eines Notfallplans und der Kontrolle und Durchführung von Notfallplänen
Zusammengefasst: In der Rolle als Sicherheitsverantwortlicher muss eine hohe aktive Gestaltung geschehen!
Grundlage für Analyse der aktuellen und zukünftigen Strategie sind auch hier wieder Daten aus allen IT-Bereichen. Als Beispiel kann eine Inventarverwaltung viele der Grundlagen dazu liefern und im Rahmen einer Bewertung zu besseren Entscheidungen und Diskussionen führen.
✅ Was sind Aufgaben der Sicherheitsbefohlenen?
Die zentralen Aufgaben sind:
- Einhaltung von zentralen Vorgaben und Regeln zum Schutze des eigenen Unternehmens
- Förderung der Zusammenarbeit mit anderen Abteilungen und den Sicherheitsverantwortlichen in allen Belangen der IT-Sicherheit
- Eigene Motivation zwecks Wissensverbesserung im Bereich der IT-Sicherheit
Zusammengefasst: In der Rolle als Sicherheitsbefohlener muss sehr viel auf Weisung und der Einhaltung von Regeln geachtet werden!
😨 Wie sieht das Spannungsfeld für die Positionen aus?
Anhand von wenigen Beispielen kann man nun aufzeigen, welche Hürden und Probleme aufkommen können:
Meist ist die Geschäftsführung kein aktiver Gestalter, sondern hält sich im Rahmen der Strategie an die Vorgaben und Regeln. Die Abteilungsleiter müssen wesentlich stärker an der Umsetzung mitarbeiten, damit die Vorgaben für die eigenen Mitarbeiter funktionieren und eingehalten werden können.
IT-Mitarbeiter müssen die Regeln einhalten, durchsetzen und benötigen zudem eine eigene hohe Motivation bei diesem Thema. Dies liegt oft daran, dass innerhalb des Unternehmens die (restlichen) Mitarbeiter kein großes Interesse an diesem Thema haben.
Aus unserer Erfahrung ist es daher wichtig, dass man die Einhaltung der Regeln verdeutlicht, eine gemeinsame Agenda im gesamten Unternehmen findet und dies in den Werten verankert. Wenn dies gelingt, dann können Sicherheitsthemen als globales Ziel gesehen und eine leichtere allgemeine Motivation erlangt werden.
Ohne Daten geht in der heutigen Zeit schlicht gar nichts mehr. Wesentliche Technologien funktionieren nur, da ein ständiger Datenaustausch zwischen Systemen geschieht und weil Unternehmen miteinander durch diesen Austausch Geld verdienen.
Ebenso ist der Zugang zu Informationen ein wichtiges Merkmal, ob ein Unternehmen ein gutes Sicherheitsniveau erreichen kann:
- Kenne ich die IT-Hardware in meinem Unternehmen?
- Welche Software und Lizenzen sind in Nutzung
- Kann die IT auf Historien-Informationen jederzeit zugreifen?
Die wenigen anschaulichen Beispiele belegen, dass mit Daten sehr viele tagtäglichen Arbeiten optimiert werden können. Außerdem lassen sich mittels dieser hochwertigen Daten genauere Aussagen zum aktuellen Zustand der Sicherheitslage bei IT-Hardware, Anlagen, Verträgen, Software und mehr durchführen.
Durch die integrierten Möglichkeiten solche Informationen jederzeit einsehen zu können und zugleich auch anderen Abteilungen und der Geschäftsführung zur Verfügung stellen zu können, kann die Sicherheit sehr einfach optimiert werden.
📃 Fazit
Mit guten Informationen steht und fällt das Thema Sicherheit in der gesamten Breite. Hat man gute Informationen bei kritischen Vorfällen zur Hand oder nicht? - Wie können Informationen aus verschiedenen Bereichen zusammen helfen die Zusammenarbeit in solchen Fällen zu optimieren?
Eine Inventarverwaltung kann in diesem Prozess als unterstützendes Tool helfen und die Blockaden abbauen und nützliche Daten liefern!
Neben den Daten ist ebenso die Verantwortlichkeit im gesamten Cyber-Security Bereich extrem wichtig. Welche Person kümmert sich um die Konzeption und welche Personen müssen im Unternehmen die Regeln und Vorgaben einhalten?
Verantwortlichkeit klärt die Zuständigkeiten und hilft den Personen den Fokus klar zu behalten.
