Produkte in der Informations-Sicherheit
Am Markt werden zahlreiche Produkte und Leistungen mit dem Ziel angeboten, dem Kunden ein Mehr an Sicherheit zu geben, für bessere Übersicht zu sorgen oder automatisiert auf potenzielle Bedrohungen zu reagieren. Diese Lösungen haben sicherlich Ihre Daseinsberechtigung und viele der Kunden sind froh, Tools und Hilfsmittel wie diese verwenden zu können.
Was wir jedoch immer wieder mit großem Erstaunen beobachten, ist die Annahme des Kunden, dass mit einem Produkt oder einer Dienstleistung das Thema bereits gelöst ist. Dabei geht es in der Informations-Sicherheit keinesfalls besser als in anderen IT-Themen; Hände sind knapp, die Arbeitslast hoch. Deshalb können uns Tools helfen, das Tagesgeschäft effizienter zu bewältigen – allerdings nur dann, wenn sie nicht nur „angesteckt“ werden.
Viele Produktanbieter haben ihr Portfolio längst um Integrations- und Onboarding-Themen ergänzt, sodass der Kunde nicht nur das Produkt kauft, sondern es sinnvoll konfiguriert am richtigen Ortintegriert. Das ist definitiv ein Schritt in die richtige Richtung. Aber …
… Informations-Sicherheit ist ein Prozess
Die Informations-Sicherheit lebt davon, dass einzelne Themen Hand in Hand gehen, etwas Größeres formen und letztlich für das gewünschte Mehr an Sicherheit sorgen. Damit das funktioniert, muss Informations-Sicherheit als Prozess begriffen werden. Sinnbildlich nutzen wir oft das Bild der Kette mit dem schwächsten Glied, durch das der Angreifer seinen Schritt in unsere Infrastruktur findet. Und tatsächlich ist das gar nicht so falsch. Der Angreifer wird sich eher einen anderen Weg in die Infrastruktur suchen, einen der möglicherweise mit einer Schwachstelle behaftet ist, als sich tagelang erfolglos an der „perfekten Next Gen Firewall“ abzuarbeiten.
Was uns im Prozess unter anderem hilft ist Überblick, Visualisierung, ein fortschreibbarer Status. Solche Themen werden oftmals mit einem Produkt-Dashboard integriert, weil der Anbieter diese Anforderung mehr als einmal am Markt hört. Das bietet für den Anbieter die Möglichkeit, all seine Produkte in dieses Dashboard zu integrieren und den Kunden damit indirekt zu einer Ausrichtung auf seine Produktwelt zu bringen, damit alles an einem Ort „im Dashboard aufgeht“.
Der nächste Reifegrad für einen Informations-Sicherheits-Prozess ist ein ISMS, das als zentrales System für das Informations-Sicherheits-Management alle relevanten Informationen bereit hält. Es unterstützt den Prozess, den wir etablieren und verbessern wollen und ist in jedem Fall ein sinnvolles Mittel zu mehr Effizienz. Wie oft im Leben aber mit einem WENN verbunden. Denn allein ein ISMS zu haben, schafft noch keinen Mehrwert im Unternehmen. Wertvoll ist es nur dann, wenn sich ein Mitarbeiter oder ein Team (abhängig von der Unternehmensgröße) aktiv, dauerhaft und fokussiert um das Thema Informations-Sicherheit kümmert.
Nicht nur Produkte, auch Dienstleistungen
Auch Dienstleistungen lassen sich analog zum Produkt einkaufen. Themen „as a service“ haben den Vorteil, dass sich dediziert Menschen um genau das Thema kümmern, das ich gerade als Kunde adressieren möchte. So bin ich in der Lage, vergleichsweise schnell ein Thema zu adressieren, weil es Fachkräfte übernehmen, die bereits Erfahrung haben. Das kann von der Integration bis hin zum Betrieb ein Vorteil sein und bietet sich explizit dann an, wenn man gesetzliche Anforderungen mit einem straffen Zeitplan anders „gar nicht umsetzen könnte“, weil die benötigten Fachkräfte nicht zur Verfügung stehen.
Doch gerade ausgelagerte Prozesse müssen in das bestehende Informations-Sicherheits-Konzept passen. Es müssen Ansprechpartner benannt und Kommunikationswege definiert werden. Kurz: es muss dafür gesorgt werden, dass der Service des Dienstleisters nahtlos in die restlichen Bestrebungen des Informations-Sicherheits-Prozesses führt.
Koordination in der Informations-Sicherheit
Informations-Sicherheit ist nicht nur ein operatives, sondern auch ein strategisches Thema. Es hilft deshalb, wenn (abhängig von der Unternehmensgröße) ein kleines Team alle Themen überblickt und die Entscheidungen aus diesem Gremium heraus getroffen werden. So bleibt sichergestellt, dass das Informations-Sicherheits-Management nicht irgendwann „auseinander“ läuft oder zu einem Flickenteppich verkommt. Es unterstützt außerdem beim kontinuierlichen Reifegrad (Plan, Do, Check, Act, Redo).