Zu den am weitesten verbreiteten Mythen gehören diese: die Hacker gewinnen immer, die Security weicht mehr und mehr zurück; Dateneinbrüche nehmen an Häufigkeit zu; Anwendungs- und Betriebssystemsicherheit ist Sache der Hersteller und sie arbeiten hart daran, uns zu schützen; regulatorische Compliance deckt 100 Prozent der Sicherheitsbedürfnisse für die meisten Organisationen ab; Hacker helfen der Industrie, indem sie Probleme finden und veröffentlichen; die Security ist dazu da, das Geschäft an jeder Regung zu hindern; die Qualität der Security lässt sich in dem Geld bemessen, das in Security-Infrastruktur und Sicherheitspersonal gesteckt wurde.
Dazu kommt noch, dass mit Security assoziiert wird, dass sie immer zu allem “Nein!” sagt, etwa zu aggressiveren Geschäftsentscheidungen und notwendigen Veränderungen. Es wird Zeit, der Security und ihrer Rolle und Aufgabe das Vertrauen des Business zurückzuerobern. Beispielsweise soll das Internet demnach kein sicherer Platz sein, um Geschäfte zu betreiben. Oder: Die Security sagt angeblich, dass drahtlose Netzwerke per se unsicher sind. Die Aufgabe der Security sollte in diesen Fällen sein, eine sichere und verständliche Umgebung zu schaffen sowie ein Framework mit einem akzeptablen Risikoprofil. Schließlich ist es heute eine Tatsache, dass Organisationen sich weltweit auf das Web und auf drahtlose Netze als primäre Channels für die Geschäfte verlassen.
Allerdings wird das Business niemals die ganze Bedeutung der Security erfassen. Und das ist auch nicht die Aufgabe des Business! Andererseits wird die Security-Seite niemals die Prozesse des Business ganz verstehen. Und das ist auch nicht die Aufgabe der Security! Dennoch müssen die Interaktionen der Security mit den Business-Entscheidern auf die Sprache des Business eingehen. Security ist dazu da, das Business zu unterstützen und nicht zu behindern.
Die genannten Schnittpunkte müssen: sich auf die Business-Aufgaben konzentrieren und nicht auf die Sicherheitstechnologie und -Prozesse; realistische Security-Performance-Erwartungen mithilfe klar definierter Metriken entwickeln; das Vertrauen der Entscheider in Security Management Frameworks und Security-Praxis aufbauen; für das Redesign der Geschäftsprozesse in sicherere Modelle werben. Das Bedürfnis nach Security wird schließlich von der Natur der Geschäftsprozesse selbst angetrieben.
Aber schlussendlich ist Security nichts anderes als ein teures, wenn auch notwendiges Übel. Und: Besser als reaktive Security ist immer eine proaktive Security. Security sollte als Schutzanzug für das Business betrachtet werden. Als Werkzeug, das dazu benutzt werden kann, Risiken zu begegnen. So kann das Business aus Marktmöglichkeiten Vorteile ziehen, die es vorher nie in Betracht ziehen konnte.”
Andrew Walls ist Research Director bei Gartner und in Melbourne, Australien, ansässig.
Echtzeitüberweisungen erfüllen die Erwartungen der Nutzer an Geschwindigkeit, sind jedoch anfällig für spezifische Sicherheits- und…
Application Portfolio Management (APM) verspricht Transparenz, mehr IT-Leistung und Effizienz – theoretisch.
Im Berichtszeitraum Mitte 2023 bis Mitte 2024 wurden täglich durchschnittlich 309.000 neue Schadprogramm-Varianten bekannt.
KI kommt in der Cybersicherheit zum Einsatz, etwa um Abweichungen im Netzwerkverkehr zu identifizieren. Ist…
Ungepatchte und veraltetete Maschinen-Software ist ein beliebtes Einfallstor für Hacker, warnt Nils Ullmann von Zscaler…
Die Auswahl einer Lösung sollte anhand von echten Leistungsindikatoren erfolgen, um echte KI von Behauptungen…
View Comments
Weil nicht sein kann, was nicht sein darf ...
Zugegeben, ein gewisses Maß an Hypochondrie ist so manchem IT-Spezialisten eigen - und daraus ergeben sich dann zuweilen auch Konflikte mit denen, die das Geschäft via Internet voranbringen wollen. Es sind aber nicht ausschließlich Märchen die da erzählt wertden, die Bedrohungen sind leider recht real ...
Es ist leider sehr schwierig, auf der Basis verwundbarer Plattformen sichere Systeme aufzubauen. Ständiges Security Patching mit all seinen Aufwänden, Kosten und operationalen Risiken ist die traurige Folge, von der alten Mantra "Never change a running system" kann keine Rede mehr sein.
Die eigentlich notwendige Schlußfolgeruntg: Weg mit dem Flickwerk, sichere Internet-Architekturen müssen her - auch wenn dies andere Plattformen erfordert.