Sie sind noch nicht angemeldet.
Registrieren
|
Zum Login
IT-Sicherheit ist eine Frage der Organisation, nicht der Technik
Richtig in IT-Sicherheit investieren – Informationen statt Technologie schützen
26.02.2010
| Autor: Martin Kuppinger
 | |
|
IT-Sicherheit kostet Geld, kein Zweifel. Nur: Mehr ist nicht zwingend besser. Viel wichtiger ist, dass man sich nicht nur mit Sicherheitstechnologie, sondern auch mit der Organisation beschäftigt. Wichtig ist aber vor allem auch, dass man IT-Sicherheit immer „ganzheitlich“ betrachtet. Denn wenn man die Vordertür verschließt, Fenster und Hintertür aber weit offen lässt, führt das allenfalls zu einem trügerischen Gefühl von Sicherheit, aber nicht zu mehr Sicherheit.
Sicherheit beginnt im Kopf
In dem Fall war die Sicherheitsarchitektur der Anwendung schlicht mehr als mangelhaft, weil es keine auch nur ansatzweise vernünftigen Autorisierungskonzepte in der Anwendung gab. Das lässt sich ohne weiteres aus den bekannt gewordenen Einzelheiten erkennen – eine veränderte URL hat ohne Autorisierung auf Informationen geführt.
Wenn man über IT-Sicherheit nachdenkt, lohnt sich zunächst ein genauer Blick auf den Begriff. Es geht um Information und Technologie. Im Mittelpunkt steht dabei nicht die Technologie, sondern die Information. Wir müssen nicht Technologie schützen, sondern die verarbeiteten und gespeicherten Informationen. Dabei muss nicht jede Information gleich behandelt werden. Ein wichtiger Schritt hin zu mehr Informationssicherheit ist eine Klassifizierung von Informationen und, davon abhängig, den Prozessen und Systemen, die für ihre Verarbeitung und Speicherung verwendet werden.
Eng damit verbunden ist das Risiko-Management. Die Bewertung von Risiken hilft nicht nur, die möglichen Konsequenzen von Sicherheitsproblemen abzuschätzen, sondern erlaubt auch eine valide Bewertung von Investitionen. Entscheidend sind dabei nicht das technische Sicherheitsrisiko, sondern die daraus entstehenden operationalen und manchmal sogar strategischen Risiken.
Wenn Daten über mögliche Steuersünder bei einer Bank gestohlen werden, gibt es operationale Risiken von Schadensersatzforderungen, wie ein aktuelles Urteil in Liechtenstein zeigt. Es gibt aber auch das operationale Risiko eines sinkenden Nettogeldzuflusses, weil Anleger der Bank weniger vertrauen. Das hat Konsequenzen nicht nur für das direkte operative Geschäft, sondern kann durch die geltenden Eigenkapital- und Refinanzierungsrisiken im Extremfall sogar zu einem strategischen Risiko für die Bank werden.
Wo es Risiken gibt, gibt es aber auch immer Chancen. Es geht also darum, die Risiken gegen das abzuwägen, was man mit einer IT-Lösung erreichen möchte (oder muss). Abhängig vom Verhältnis von Risiken und Chancen kann man dann über die sinnvollen Investitionen in IT-Sicherheit entscheiden, also die Risikovermeidung.
Seite 2: Nicht nur Technologie bringt Sicherheit
Bildergalerie
Fotostrecke starten: Klicken Sie auf ein Bild(1 Bilder)
Bewerten
|
Drucken
|
Versenden
|
als PDF
|
Kommentieren
|
Archivieren
Bewerten Sie diesen Artikel
WEITERE INHALTE ZUM THEMA
Security-Standards frühzeitig setzen: Sicherheit in der Anwendungsentwicklung beginnt beim Software-Design
IT-Sicherheit wird gerne dahingehend kritisiert, dass sie IT-Innovationen ausbremse. Ist Sicherheit tatsächlich nur ein Störfaktor für den Fortschritt? Oder ist es nicht vielmehr so, dass man ein hohes Maß an Sicherheit bei Software nur erreichen kann, wenn man sie von Beginn an im Anwendungsdesign berücksichtigt?
weiter
ISO 27001:2005 – Organisation der Informationssicherheit: Bestimmungen und Tipps für das Sicherheits-Management in Unternehmen
ISO 27001:2005 – Organisation der Informationssicherheit: Bestimmungen und Tipps für das Sicherheits-Management in Unternehmen
Wer sich mit der Norm ISO/IEC 27001:2005 befasst, kommt an der Organisation der Informationssicherheit nicht herum. Dies ist ein Teilaspekt im Managementsystem für Informationssicherheit (ISMS) und gehört zu den Best-Practices aus ISO 17799:2005. Dort ist es das zweite von insgesamt elf Überwachungsbereichen. Dieser Artikel beschreibt die in der Norm spezifizierten Kontrollen sowie Kontrollziele und zieht einige Parallelen zur Grundsicherheit des BSI und zur Praxis.
weiter
Der sichere Umstieg auf Voice over IP und Unified Communications: Unified Communications und IT-Compliance schließen sich nicht aus
Der sichere Umstieg auf Voice over IP und Unified Communications: Unified Communications und IT-Compliance schließen sich nicht aus
Als Teil der unternehmerischen Tätigkeit muss auch die Informations- und Kommunikations-Technologie auf Basis gesetzlicher Grundlagen betrieben werden. Gemeinsam mit branchenspezifischen Anforderungen ergeben sich daraus bestimmte Verhaltensmaßregeln für den Unternehmensalltag. Doch viele Firmen sind darauf nur unzureichend vorbereitet.
weiter
Leitfaden IT-Compliance Rechtsfragen Informationssicherheit und IT-Datenschutz
Leitfaden IT-Compliance Rechtsfragen Informationssicherheit und IT-Datenschutz
Regulatorische Anforderungen zur Geschäftsoptimierung IT-Infrastruktur Compliance Reifegradmodell
Regulatorische Anforderungen zur Geschäftsoptimierung IT-Infrastruktur Compliance Reifegradmodell
Security für Endpunkte im Unternehmensnetzwerk Ein Agent vereint wesentliche Sicherheits-Komponenten
Security für Endpunkte im Unternehmensnetzwerk Ein Agent vereint wesentliche Sicherheits-Komponenten
Firmenprofil
McAfee GmbH
McAfee ist der weltgrößte Spezialist für IT-Sicherheit. Das Unternehmen mit Hauptsitz im kalifornischen Santa Clara liefert präventive, praxiserprobte ...
Firmenprofil
Kontakt
HvS-Consulting GmbH
Firmenprofil
Kontakt
IT-Sicherheit wird gerne dahingehend kritisiert, dass sie IT-Innovationen ausbremse. Ist Sicherheit tatsächlich nur ein Störfaktor für den Fortschritt? Oder ist es nicht vielmehr so, dass man ein hohes Maß an Sicherheit bei Software nur erreichen kann, wenn man sie von Beginn an im Anwendungsdesign berücksichtigt?
weiter
Wer sich mit der Norm ISO/IEC 27001:2005 befasst, kommt an der Organisation der Informationssicherheit nicht herum. Dies ist ein Teilaspekt im Managementsystem für Informationssicherheit (ISMS) und gehört zu den Best-Practices aus ISO 17799:2005. Dort ist es das zweite von insgesamt elf Überwachungsbereichen. Dieser Artikel beschreibt die in der Norm spezifizierten Kontrollen sowie Kontrollziele und zieht einige Parallelen zur Grundsicherheit des BSI und zur Praxis.
weiter
Als Teil der unternehmerischen Tätigkeit muss auch die Informations- und Kommunikations-Technologie auf Basis gesetzlicher Grundlagen betrieben werden. Gemeinsam mit branchenspezifischen Anforderungen ergeben sich daraus bestimmte Verhaltensmaßregeln für den Unternehmensalltag. Doch viele Firmen sind darauf nur unzureichend vorbereitet.
weiter
Secaron AG
Hallbergmoos, Deutschland
Firmenprofil
McAfee GmbH
Unterschleißheim, Deutschland
Firmenprofil
Kontakt
HvS-Consulting GmbH
Garching b. München, Deutschland
Firmenprofil
Kontakt
Dieser Beitrag ist urheberrechtlich geschützt.
Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter
www.mycontentfactory.de
.
WEITERE INHALTE ZUM THEMA
Übersicht
Whitepaper
Webcasts
TOP 5 - MEIST GELESEN
Subscribe / Follow SearchSecurity.de
Bookmarken Sie diesen Beitrag
Copyright © 2010 Vogel Business Media
(nicht registrierter User)
Kommentar abschicken