ICT-Sicherheit
Sicherheit, Cybersicherheit, Privatshäre und Datenschutz zählen seit langem zu unseren wichtigen Fachgebieten.
Angebot
Wir unterstützen Sie bei der
- Entwicklung und Umsetzung von Sicherheits-Strategien
- Erarbeitung praktikabler, verständlicher und umsetzbarer Sicherheits-Massnahmen
- Verbesserung der Prozesse und von (umsetzbaren!) Konzepten
- Entwicklung von Sicherheit als Teil der Organisationsarchitektur
- Sensibiliserung von Mitarbeitenden
- und mit einer unverbindlichen Sprechstunde ICT-Sicherheit – einfach bestellen und Termin für ein Audio-/Video-Gespräch vereinbaren!
sowie bei
- Schulungen und Seminaren
- Investitions-Entscheidung von Sicherheits-Technik und deren Wirtschaftlichkeitsbewertung
ICT-Sicherheit kann einerseits technisch aufgefasst werden. Andererseits ist seit langem bekannt, dass Sicherheit als strategisch und organisatorisch wichtig verstanden werden sollte, damit sie tatsächlich “funktionieren” kann.
Inhalt:
- Sicherheitsstrategie
- Technische Sicherheitsmassnahmen
- Sicherheit verstehen, erlernen und anwenden
- Organisatorische Sicherheitsmassnahmen
- Sicherheit zahlt sich aus
- Lästige Sicherheit
- Gesamtkonzept erarbeiten
Sicherheitsstrategie
Was in ICT- und allen Projekten gilt, darf im Sicherheitsbereich keinesfalls fehlen: eine Sicherheitsstrategie, ein strategischer Fokus. Übertragen aus der ICT-Strategie formulieren wir neu:
Sicherheitsstrategie – eine wichtige Vorbedingung zu innovativer, wirksamer, erfolgreicher und wirtschaftlicher Cybersicherheit.
Betrachten Sie strategische, organisatorische oder konzeptionelle Überlegungen als Grundvoraussetzung von ICT-Sicherheitsmassnahmen, die greifen!
ICT-Sicherheit kann unserer Erfahrung nach ansonsten nicht funktionieren. Investitionen, seien sie noch so gross, bleiben nicht oder zuwenig wirksam.
Technische Sicherheitsmassnahmen
Sicherheitstechnische Aspekte und Massnahmen können eine wichtige Grundlage bilden.
Heute wird seltener direkt gesagt, “wir haben gute Technik, also ist das Unternehmen sicher”. Dennoch besteht diese unausgesprochene Meinung häufig immer noch. Heute wird eher nuanciert: Sicherheitstechnik sei zumindest dann genügend, wenn sie neu, aktuell und vielleicht besonders teuer (also gut) sei. Man könne schliesslich nicht mehr tun.
Sollte aber der alte Ausspruch zutreffen, wonach die grösste Schwachstelle nicht die Technologie sei, sondern der Mensch, dann müsste sich Sicherheit logischwerweise massgeblich nach dem Faktor Mensch ausrichten.
«Wenn die grösste Schwachstelle nicht die Technologie ist, sondern der Mensch, dann müsste sich Sicherheit massgeblich danach ausrichten.»
Sicherheit verstehen, erlernen und anwenden
Wer Sicherheit will, muss das Geschäft, die Prozesse und Arbeitsabläufe ausgesprochen gut verstehen (vorwiegend in grösseren Organisationen).
Natürlich muss auch Sicherheit selber begriffen werden. Was meinen wir mit Gemeinplätzen wie “Sicherheit hat eine hohe Priorität”? Wann meinen wir welche Gefahren, Risiken, Exposition oder Schutz, wenn wir von Sicherheit sprechen? Was wollen wir schützen? Warum ist der Schutz erforderlich?
«Sicherheits-Konzepte werden dynamisch angepasst. Denn Risiken bleiben ebenfalls dynamisch.»
Konzeptionelle Überlegungen sind allerdings wenig sinnvoll, wenn sie von Mitarbeitenden nicht verstanden werden und nicht als dynamischer Prozess ausgestaltet sind. Denn eines ist klar: Risiken bleiben ebenfalls dynamisch.
Organisatorische Sicherheitsmassnahmen
Organisatorische Aspekte werden gerne vernachlässigt. Wie aber sind fortschrittliche Organisationen aufgestellt?
Gute Praxis - Best Practice
Sicherheit wird übergreifend, sowohl strategisch als auch operativ betrachtet und zugeordnet.
Die Leitungsebene ist sehr gut eingebunden (Chefsache). Die Mitarbeitenden werden laufend geschult und sensibilisiert.
Vor allem grössere Organisationen haben eine oder mehrere Sicherheitsbeauftragte, die nicht irgend einer Informatik-Unterabteilung angesiedelt sind. Diese haben zumindest sicherheitsökonomische Grundkenntnisse. Dazu zählen menschliches Verhalten, Prozesse und der praktische Bezug zur Technologie. Damit können Ansätze ausgearbeitet und immer wieder aktualisiert werden, welche zu den wirksamsten zählen, aber wohl stark unterschätzt sind.
Erfolgreiche und fortschrittliche Firmen betrachten Sicherheit als Teil Ihrer Organisationsarchitektur.
Sicherheit ist eine Daueraufgabe
Organisatorische Ansätze setzen einerseits beim Wissen darüber an, was ein Risiko sein kann beziehungsweise welches Verhalten die Sicherheit beeinträchtigen kann (verständliche Sicherheitsrichtlinien).
Sicherheit kann nie erreicht werden und gut ist. Denn Faktoren, welche Sicherheit und Unsicherheit beeinflussen, bleiben dynamisch und verändern sich ständig.
«Sicherheitsrichtlinien nützen wenig, wenn sie von Mitarbeitenden nicht verstanden werden.»
Zur Daueraufgabe gehört, Mitarbeitende auf dem Laufenden zu halten und regelmässig zu schulen. Progressive Lehr- und Lernmethoden mit selbständigem Wissensaustausch können gefördert werden. Erfahrungsaustauschgruppen, an denen sich Personen aller Hierarchiestufen beteiligen – vielleicht sogar über das Unternehmen hinaus – können zu einer von vielen sinnvollen Anregungen gehören.
Ebenfalls vorerst zu den organisatorischen Massnahmen zählt die Produktewahl, -Konfiguration und -Aktualisierung.
Was passiert im Notfall?
Während Vorbeugen hoffentlich wichtig ist, darf die Diskussion darüber nicht fehlen, was ein IT-Ausfall für das Geschäft bedeuten würde (Notfallplanung). Wie können wir einen Ausfall bewältigen? Sind wir sicher, dass nur ein “unwichtiges” Teilsystem betroffen sein kann? Wie lange darf ein Unterbruch dauern? Wie rasch kann ein System wiederhergestellt werden?
Ein Notfallplan muss gerade auch das scheinbar Undenkbare denken.
Sicherheit zahlt sich aus
Noch nicht ganz verschwunden sind Meinungen wie “uns trifft es bestimmt nicht”, “weshalb sollte jemand an uns Interesse haben und uns angreifen wollen”? Somit, so die Ansicht, lohne es sich kaum, in Sicherheit zu investieren.
Dieses mangelnde Verständnis, insbesondere von Cybersecurity, kann teuer werden, sich gar fatal auswirken. Einerseits werden die Folgen von Ausfällen oft unterschätzt. Andererseits wird das Ausmass von Ausfällen selber falsch eingeschätzt. Oder es besteht keine Notfallplanung.
Dabei sind Cybervorfälle alltäglich, nehmen eher zu oder werden ausgeklügelter.
Dass alle von einem Cybervorfall betroffen waren oder sein werden, aber (noch) nicht unbedingt (unmittelbar) davon wissen, gilt inzwischen als sicher.
Mögliche Konsequenzen werden regelmässig bagatellisiert. Dabei können sie einen immensen materiellen und Imageschaden bewirken. Eine Unternehmung kann an den Rand des Abgrunds geraten.
Lästige Sicherheit
Sicherheit mag lästig erscheinen. Dennoch sollte Sicherheit stets als Prozess verstanden werden, der nicht aufhört. Werden alle Mitarbeitenden eingebunden und von der obersten Geschäftsleitung unterstützt, wird es auch gelingen, innovative und konkrete Ansätze zu entwicklen und umzusetzen, die sich ausserdem stets erneuern.
Gesamtkonzept erarbeiten
Eine Analyse, ein Gesamtkonzept, Massnahmen, Schulungen … erarbeiten kann jede Organisation (Firmen, andere Organisationen) im Prinzip selber. Das erfordert von Sicherheitsbeauftragten und Sicherheitsspezialist/innen nicht nur hohes Interesse und Motivation, sondern auch Ausdauer und Beharrlichkeit. Für einen Teil der notwendigen Arbeiten, Konzeption oder Schulung kann eine Aussensicht hilfreich sein. Der Austausch mit “Friendly Competitors”, etwa um Spezialwissen aufzufrischen, ebenso wie die erwähnten interdisziplinären Erfahrungsaustauschgruppen/Erfa, gehören heute zu modernen, aufgeschlossenen Organisationen.
Dieser Einführungstext kann natürlich weder eine spezifische Analyse noch ein Gesamtkonzept ersetzen.
F-PROT: historisches Antivirus-Beispiel
Bei den Anti-Malware- oder Antivirus-Produkten, waren wir beispielsweise im Sinne unseres eigenen Satzes,
«ICT-Qualitäts- und Nischenprodukte, die wir selber schätzen lernten, traditionellerweise auch interessierten Kundinnen und Kunden anzubieten»,
von 2004 bis zum Verkaufsende 2020 Reseller des einst legendären F-PROT.
Wie gesagt umfassen Anti-Malware-Produkte, Firewalls & Co. nur einen von vielen technischen Aspekten.
Weitere Informationen
- Verwandte Info zu Sicherheit, Privatshäre, Datenschutz auf wuergler-consulting.ch
- IT-Sicherheit in KMU: Antimalware und minimale Schutzmassnahmen
- “ICT-Sicherheit: Die beste technische Lösung ist vielleicht nur teuer” auf wuergler-consulting.ch