IT-Trends-Blog

IT-Trends-Blog

Opinions expressed on this blog reflect the writer’s views and not the position of the Capgemini Group

Judo, nicht Boxen: neue Strategien für den Security Information Officer

Kategorie: Trends des Monats

In meinem letzten Blogbeitrag habe ich die fortlaufend unmöglicher werdende Position des klassischen Chief Security Officers (CSO) dargestellt. Die Absicherung neuer Serviceangebote und Endgeräte reißen entweder riesige Löcher in das IT-Budget, oder – falls sie nicht gesichert werden – eben noch größere Löcher in den Sicherheitsschirm. Aus meiner Sicht kann der CSO seiner Aufgabe nicht mehr gerecht werden, indem er ständig gegen die neue Welt anboxt und versucht die alten Sicherheitskonzepte 1:1 zu übertragen. Es geht vielmehr darum, sich die neue Welt zunutze zu machen und mit möglichst wenig Aufwand den maximalen Nutzen für die Sicherheit zu ziehen.

Dazu muss man sich aber vielleicht erst einmal von einigen uns lieb gewordenen Fehlannahmen verabschieden:

Fehlannahme 1: Die Nutzer handeln grob fahrlässig, wenn man sie nicht strikt reguliert

Ganz, ganz falsch. Die Nutzer handeln umso vorsätzlicher fahrlässig, je mehr sie reguliert werden. Ein schönes Beispiel dazu: Es gab einmal in einer großen deutschen Firma eine IT-Abteilung, die für den Testzugriff auf das Internet einen speziellen DSL-Anschluss mitsamt WLAN Router hatte. Der Zugriff auf diesen Router wurde durch eine MAC-Adressenbeschränkung offiziell geregelt. Als dieses WLAN vom CSO verboten wurde, wurde natürlich viel geklagt. Wer das Internet testen wollte, musste nun an den unbequemen „Testrechnerplatz” gehen.

Diese lästige Prozedur umgingen die Mitarbeiter, indem sie einfach rote LAN-Kabel durch das ganze Büro zogen. Dumm nur, dass private iPhones und iPads keinen LAN-Anschluss haben! Also gab es kurze Zeit später wie von Zauberhand geschaffen ein WLAN mit dem Namen „SSID“ des benachbarten Autohauses, natürlich ohne MAC-Adressenbeschränkung. Der Kommentar des Kontrolltechnikers an seinem Messrechner ist fast schon legendär: „Komisch, der BMW-Laden strahlt aber mächtig hier rein.”

Fehlannahme 2: Die unternehmenseigenen Devices sind sicher

Da sich die Sicherheit der Devices umgekehrt proportional zu ihrer Brauchbarkeit verhält, haben wir ein Problem. Je stärker man die E-Mails auf Firmen-Smartphones abschottet, desto stärker werden Nutzer auf private Geräte und private E-Mail-Provider ausweichen. Je sicherer (und antiquierter) man die Unternehmens-Laptops macht, desto größer wird der Anteil der parallel verwendeten privaten Ultrabooks werden.

Fehlannahme 3: Das Intranet ist sicher

Das ist die größte Illusion von allen. Auch hierzu habe ich eine schöne Anekdote: In einem Industriepark mussten einmal entgegen der eigentlichen Planungen die Besprechungsräume abgeschlossen werden. Warum? Weil es dort LAN-Buchsen mit Intranet-Anschluss gab, die Besprechungsräume aber außerhalb des abgesicherten Bereiches lagen. Darüber hinaus gibt es noch die nicht abgeschlossene Teeküche mit Netzwerkdrucker oder am Wochenende offen stehende Türen zu Geschäftsräumen, weil entweder die Schließmechanismen oder die Raumpfleger nicht ganz auf der Höhe sind.

Das ist ernüchternd. Und herausfordernd.

Nehmen wir also an, dass diese drei Schlachten bereits verloren sind. Wie gewinnen wir nun den Krieg mit Hilfe unseres „Feindes“? Ich behaupte, dass wir die Informationssicherheit deutlich steigern können, wenn wir uns die folgenden Trends zunutze machen:

  • Nutzer bringen ihre eigenen Geräte mit, die deutlich leistungsfähiger sind als die klassischen Firmenrechner.
  • Nutzer haben mehr als ein Gerät.
  • Der interne Datenaustausch über das Internet lässt sich absichern.
Haben Sie eventuell noch Ideen, bevor ich nächste Woche weiterschreibe?

 

Über den Autor

Gerd Stangneth
Gerd Stangneth
Gerd Stangneth ist Experte für Innovationen. Seine persönliche Leidenschaft gilt Verständnis- und Entscheidungsprozessen, um zu ergründen, wie technologische und gesellschaftliche Entwicklungen ineinandergreifen, daraus neue Branchen entstehen und der Zeitgeist beeinflusst wird. Zurzeit interessiert ihn vor allem der Paradigmenwechsel, den die Dynamisierung von Organisationen, Applikationsplattformen und Endgeräten gerade einleitet. Gerd Stangneth leitet das Team Project Innovation bei Capgemini Consulting. Er unterstützt seine Kunden dabei Ihr Geschäft als Erste durch ganzheitliche Integration der neuen Technologien zu transformieren.

Kommentar hinterlassen

Ihre E-Mail-Adresse wird nicht veröffentlicht. Pflichtfelder sind mit einem * gekennzeichnet.