Kolumne

Von richtiger und falscher Sicherheit

Uhr
von Hannes P. Lubich, Berater und Partner, Ad Vantis Innovation, emerierter Professor

Eine Welle von Cyberangriffen im Jahr 2021 hat erhebliche Aktivitäten in potenziell gefährdeten Firmen ausgelöst - es ist jedoch fraglich, ob immer die richtigen Massnahmen ergriffen wurden.

Hannes P. Lubich, Berater und Partner, Ad Vantis Innovation, emerierter Professor. (Source: zVg)
Hannes P. Lubich, Berater und Partner, Ad Vantis Innovation, emerierter Professor. (Source: zVg)

Die schadensintensive und öffentlichkeitswirksame digitale Angriffs- und Erpressungswelle von 2021 hat Spuren hinterlassen. Spuren bei den erfolgreich angegriffenen Organisationen, die neben den direkten und indirekten Kosten auch Reputationsrisiken bewältigen mussten. Spuren bei Informatik-Abteilungen und externen Dienstleistern, die in teils mühevoller Kleinarbeit Lösegeldverhandlungen geführt, Schäden und Angriffswege identifiziert und geschlossen sowie umfangreiche "Aufräumarbeiten" und Datenwiderherstellungen geleistet haben. Aber auch Spuren in der Politik und Gesellschaft, die nun nach Lösungen sucht, ohne allzu prohibitive Kosten, zu einschränkende gesetzliche Schnellschüsse (z.B. Verbote kryptologischer Währungen) oder die Konkurrenzierung privater Sicherheitsdienstleister durch staatliche und hoheitliche Aufgabenträger.

Zudem haben viele Unternehmen entschieden, kurzfristig weitere Schutzmassnahmen gegen diese 2022 weiter intensiv laufende Angriffswelle zu ergreifen. Besonders populär sind hierbei "Ad-hoc-Untersuchungen" durch externe Dienstleister, die entweder durch externes "Penetration Testing" oder durch einen Mix aus einer Analyse der vorhandenen Sicherheitsdokumentation, Prozesse, Rollen usw., der Analyse der installierten beziehungsweise fremd-genutzten ICT-Umgebungen und dem Durchspielen von Angriffsszenarien Schwachstellen eruieren sollen. Ebenso populär sind "Awareness"-Massnahmen auf verschiedenen Stufen sowie die Beschaffung gegebenenfalls extern betriebener zusätzlicher Sicherheits- und Überwachungsinstrumentarien bis hin zu einem durchgehend verfügbaren "Security Operations Center".

So sinnvoll diese "Bausteine" für ein übergreifendes Risikomanagement und ein wohldokumentiertes, geschultes und erprobtes Krisen- und Sicherheitsdispositiv sein mögen – als "Ad-hoc-Massnahmen" ohne tiefere Einbettung in die relevanten Entscheidungs-, Investitions-, Veränderungs- und Betriebsprozesse können sie zu teuren und (zumindest in nachträglicher Sicht und Einsicht) wenig nutzbringenden Investitionen werden, denn noch immer bestimmt in einem wirtschaftlich und politisch angespannten Umfeld, einem ausgetrockneten und zuweilen bereits überteuerten Markt für IT-Fachspezialisten und der Notwendigkeit, für den wirtschaftlichen Erfolg durchaus auch Risiken einzugehen, das eher kurzfristige, von Quartalsumsätzen und kurzfristigen Erwartungen geprägte Denken. Die Informationssicherheit soll hier also oft nur einen "quick fix" anbieten, ohne dass die aufwändige Analyse und Behebung der eigentlichen Ursachen an die Hand genommen werden.

Da in einem solchen Umfeld das "richtige" Mass an Sicherheit kaum festzulegen oder aufrechtzuerhalten ist, werden derartig kurzfristig beauftragte Sicherheitsmassnahmen zwar die Umsätze der Anbieter steigern, jedoch gegebenenfalls auch dazu führen, ein falsches Sicherheitsgefühl bei den Entscheidungsträgern zu erzeugen, zwangläufig verbunden mit einem hohen Mass an Enttäuschung, wenn diese Massnahmen dann einen Angriff doch nicht verhindern konnten. In diesem Sinne sei allen Organisationen angeraten, die entsprechenden Vorhaben nicht nur auf kurzfristige Effektivität und Effizienz, sondern auf langfristige Wirksamkeit und wirkliches Veränderungspotenzial auszulegen und entsprechend umzusetzen.

Webcode
DPF8_249707

Dossiers

» Mehr Dossiers

Aktuelle Ausgabe

Direkt in Ihren Briefkasten CHF 60.- » Magazin Abonnieren » Zum shop » Newsletter