Von der Pflicht zur Kür: Sicherheit als Prozess aufsetzen

Wer glaubt, Sicherheit mit fertigen Produkten kaufen zu können, irrt - und zwar gewaltig. Nur eine fortlaufende Evaluierung kann ein hohes Sicherheitsniveau erreichen.

Beim allgegenwärtigen Brennpunkt Sicherheit spitzen alle Beteiligten die Ohren, und das sind nicht Wenige. Der Grund dafür liegt auf der Hand: Ohne eine sicher und stabil laufende IT können Unternehmen ihre Tore für lange Zeit schließen.

Entsprechend hoch ist der Stellenwert der IT-Sicherheit anzusiedeln. Als Folge springen die Anbieter auf den Zug auf und bewerben ihre Produkte und Dienstleistungen massiv mit dem Verkaufsargument Sicherheit. Die Folge: Eine Masse und Vielzahl von Angeboten, die den trügerischen Eindruck erweckt, dass man Sicherheit einfach kaufen kann und dieser Zustand ewig währt.

Das Gegenteil ist jedoch der Fall. Eine aktuelle Studie des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zeigt, dass die größte Gefahr von der mangelnden Sensibilisierung des Managements, fehlenden Prozessanalysen und ungenügenden Krisen- und Notfallplänen ausgeht. So sind Unternehmen, die einen durchgängigen Sicherheitsprozess implementiert haben, nach wie vor dünn gesät.

Dabei ist der Weg vom leichten Opfer für Attacken und Angriffe bis zum umfassend und professionell geschützten Unternehmen weder besonders lang noch steinig. So kann mit ein paar Schritten eine Risikoanalyse durchgeführt und anschließend illustriert werden, wie man auf Basis der so gewonnenen Ergebnisse, Sicherheit als Prozess im Unternehmen einführt und dadurch ein nachhaltig hohes Sicherheitsniveau erreicht.