IT-Security: Steigende Investitionen bei unklarem Risiko
Höhere Budgets für die Sicherheit müssen einhergehen mit einer umfassenden Sicht auf mögliche Risiken
Dauerte es vor ein bis zwei Jahren noch etwa einen Monat, bis der erste Virus die neue Sicherheitslücke attackierte, werden inzwischen so genannte Zero-day-Attacks, also Attacken, die am selben Tag wie die Veröffentlichung der Sicherheitslücke stattfinden, häufiger. Im Jahr 2005 dürfte dieses “Inkubations-Intervall” teilweise sogar kleiner als 30 Minuten sein.
Dabei sind Viren und Würmer nur ein Aspekt für die unternehmensweite IT-Security. Hier werden Themen wie Identity- und Access-Management, das in übergreifende Security-Management-Lösungen integriert wird, an Bedeutung gewinnen. Denn diese Lösungen versetzen Unternehmen in die Lage, die IT-Security-Strategie stärker an den Geschäftsprozessen auszurichten und schneller auf Änderungen in Prozessen und Sicherheitsrichtlinien zu reagieren.
In vielen Fällen werden Unternehmen gezwungen sein, ihre IT-Sicherheitsrichtlinien und -Prozesse zu überarbeiten. Denn die Aktualität der Richtlinien sowie ihre wirksame Umsetzung zeigen sich in der Praxis immer wieder als Schwachpunkt. Das gilt auch für die mangelnde Kommunikation der Richtlinien gegenüber den Mitarbeitern, an deren Verantwortung regelmäßig appelliert werden sollte.
Dass die IT-Security-Investitionen in vielen Unternehmen weiter steigen, ist ein positives Signal dafür, wie stark das Thema IT-Sicherheit auch auf Top-Management-Ebene verankert ist. Ein Gradmesser für die Wirksamkeit der Schutzmaßnahmen ist die Höhe der Investitionen allein jedoch nicht.
Unternehmen, die ihre IT-Security-Strategie überarbeiten, sollten daher eine unabhängige Risikoanalyse durchführen lassen. Denn eine transparente Analyse der möglichen Risiken sowie deren Schadenspotential und Eintrittswahrscheinlichkeit ist eine wichtige Grundlage, um die Investitionen zielgerichtet für Mitarbeiter, Prozesse und Technologien einzusetzen.
Für Technologie-, Beratungs- und Dienstleistungsanbieter im IT-Security-Markt bieten Risikoanalysen und Sicherheits-Assesments eine gute Möglichkeit, sich als Trusted Advisor bei ihren Kunden zu positionieren und die Partnerschaft auszubauen.