Die Datensicherheit im Unternehmen zu gewährleisten, wird immer anspruchsvoller. Das elektronische Geschäft weitet sich aus, Mobile Working ist zum Normalfall geworden und zunehmend werden Daten per Cloud Computing über das Internet bearbeitet und gespeichert. Hinzu kommen neue gesetzliche Auflagen wie zum Beispiel der Nachweis eines internen Kontrollsystems (SAS70 Type II) und regulatorische Vorschriften (FINMA-Rundschreiben).
All diese Herausforderung zu meistern, erfordert umfassende Spezialkenntnisse und zieht sich wiederholende, massive Kosten und Investitionen nach sich – in einem Randbereich, der für die meisten Firmen nicht zum eigentlichen Kerngeschäft gehört.
Ein sicheres ICT-Netzwerk und eine sichere ICT-Infrastruktur sind jedoch, und das dürfte jedem bekannt sein, die Basis des verantwortungsvollen geschäftlichen Handelns – denn darauf beruhen alle internen und externen Geschäftsprozesse und letztlich der Erfolg des Unternehmens. Dementsprechend sollten folgende altbewährten Schwerpunkte gesetzt werden:
? Sicherheit muss sein
Das kommerzielle Interesse, das eigene Geschäft – insbesondere Kundendaten, Handelsgeheimnisse, Forschungsresultate, Preisstrategien etc. – vor unbefugtem Zugriff zu schützen, ist für ein Unternehmen überlebenswichtig. ICT-Security muss deshalb höchste Management-Priorität haben.
? Risiken sicher identifizieren
Damit kritische Risiken proaktiv identifiziert werden können, ist die Unternehmensleitung gemäss revidiertem Aktienrecht verpflichtet, entsprechende Risikoanalysen durchzuführen und geeignete Schutzmassnahmen einzuleiten. Der Verwaltungsrat haftet dafür persönlich. Wichtig ist hier die Gesamtbetrachtung: Werden oder wurden sensitive Daten klassifiziert? Wie werden sie wirkungsvoll in der Ablage, bei der Bearbeitung und auf dem Transport geschützt? Sind die Prozesse entsprechend gestaltet und wird danach gearbeitet?
? Schlüssel zur Zusammenarbeit
Unternehmen arbeiten immer enger zusammen und tauschen sensitive Informationen aus. Das bedeutet, dass das Vertrauen in die sichere Verarbeitung und Speicherung der Informationen zwischen den Partnern sehr gross sein muss. Eine ungenügende ICT-Security beeinträchtigt die vertrauensvolle Zusammenarbeit. Im schlimmsten Fall verhindert sie sie sogar und kann zum Killerargument für eine strategische Zusammenarbeit werden. Das würde automatisch zu Wettbewerbsnachteilen führen. Die Kommunikationsverbindungen müssen also Vertraulichkeit und Integrität garantieren. Nur so können sensitive Daten bedenkenlos ausgetauscht, die Vorteile der elektronischen Datenverarbeitung genutzt und schliesslich medienbruchfreie Prozesse praktiziert werden.
? Internem Datendiebstahl vorbeugen
Datendiebstahl durch die eigenen Mitarbeiter kann ein Unternehmen substantiell schädigen – die aktuellsten Fälle bei diversen Finanz-unternehmen sind nur ein Beispiel dafür. Um Datendiebstahl vorzubeugen, empfiehlt sich der Einsatz von Sicherheitssoftware, die das unkontrollierte Kopieren von grossen Datenmengen verhindert. Diese sogenannten «Data-Loss-Prevention-Systeme» (DLP) sind heute bereits bei vielen Unternehmen erfolgreichim Einsatz. Was der Markt im Bereich DLP heute zu bieten hat, können Sie übrigens in der letzten Ausgabe Nr. 7/8 des Swiss IT Magazine in einer grossen Marktübersicht nachlesen.
Mit der rapiden Verbreitung moderner Handys, sogenannten Smartphones, ergeben sich für ICT-Security-Verantwortliche und Unternehmen derzeit ganz neue Probleme. Insbesondere der Erfolg von Lifestyle-Geräten wie dem iPhone stellt die IT vor neue Aufgaben.Das unangefochtene Blackberry-Imperium mit seinem kontrollierten, gesicherten Datenaustausch und der integrierten Verschlüsselung bekommt durch die Nachfrage der Mitarbeiter nach Lifestyle-Handys ernst zu nehmende Konkurrenz.
Die Palette an mobilen Arbeitsgeräten wird in Unternehmen also immer breiter und die Aufrechterhaltung eines angemessenen Sicherheitslevels immer komplexer. Es ist deshalb ratsam, für das Design und den Unterhalt der entsprechenden ICT-Sicherheitsinfrastruktur Experten hinzuzuziehen. Neben der Technik muss aber vor allem auch geregelt werden, wie Technologien und Geräte im Unternehmen zu nutzen sind:
• Was ist der Zweck der mobilen Kommunikation im Unternehmen? Aktive Unterstützung der Mitarbeiter im Aussendienst oder bequemes Lesen der E-Mail im Zug?
• Was soll mobil bearbeitet werden können? Nur E-Mail, Adressen und Kalendereinträge oder braucht es eine komplette Mobile-Office-Lösung?
• Wie hoch sind die Sicherheitsanforderungen? Genügt eine einfache Authentifizierung, oder ist eine Zertifikats-basierte Lösung erforderlich? Was passiert bei Verlust eines Geräts?
• Was soll verboten sein? Sollen zum Beispiel ungeprüfte Applikationen oder unverschlüsselte Geschäftsdokumente zugelassen werden? Kann dies durchgesetzt werden?
Je nach Antwort auf diese Fragen müssen auch Konsequenzen bei der Zulassung bestimmter Geräte gezogen werden. Wenn beispielsweise verlangt wird, dass sämtliche Daten auf den Geräten lokal und hardware-mässig verschlüsselt werden, fallen bereits etliche Geräte wie das iPhone für einen Einsatz weg. Eine sehr wichtige Rolle spielt ein zentrales Management der Endgeräte. Damit kann kontrolliert werden, welcher Mitarbeiter welches Gerät im Einsatz hat und was er damit machen darf. Falls ein Gerät verlorengeht oder gestohlen wird, kann dessen gesamter Inhalt gelöscht werden.
ICT-Security ist zwar, wie eingangs erwähnt, eine zwingende Voraussetzung für das Überleben eines Unternehmens, aber selten dessen Kernkompetenz, um sich im Wettbewerb zu differenzieren und Marktanteile zu gewinnen. Aus strategischer Sicht lohnt es sich für Firmen deshalb immer mehr, eine Auslagerung der ICT-Security an einen spezialisierten, vertrauens-würdigen Partner zu prüfen.
Für eine Auslagerung sprechen auch die Kosten: Die in den letzten Jahren gestiegenen Sicherheitsanforderungen treiben die Ausgaben der Unternehmen für die Informations-sicherheit kontinuierlich in die Höhe. Die Kos-ten entstehen dabei vor allem durch die Inves-titionen in die benötigte Infrastruktur, die hohen Lohnkosten für Spezialisten und die Erhaltung des notwendigen Know-hows. Hinzu kommen die vielen Updates und neuen Releases, die in immer kürzeren Abständen installiert werden müssen. Es entstehen also hohe Kosten, die in einem Inhouse-Betrieb nicht oder nur schwer planbar sind.
Der ICT-Security-Markt in der Schweiz ist in den letzten fünf Jahren übrigens jährlich im zweistelligen Prozentbereich gewachsen. Dieser Trend wird sich weiter fortsetzen. Die hohen Wachstumsraten führen auch dazu, dass der Anteil von ICT-Security an den ICT-Gesamtbudgets der Unternehmen in den letzten drei Jahren stark zugenommen hat. Laut einer Studie von Forrester Research stiegen die Budgets von etwa 7 Prozent im Jahre 2007 auf beinahe 13 Prozent im Jahre 2009. ICT-Security wird also von den meisten Unternehmen als wichtigstes Thema im Bereich ICT genannt und wird es in Zukunft auch bleiben.
Eine Alternative und attraktive Option zum immer teurer und komplexer werdenden Inhouse-Betrieb sind die bereits angetönten, auf das jeweilige Kundenbedürfnis zugeschnittenen Managed Security Services. Die Spezialisten eines Servicepartners übernehmen dabei die permanente Überwachung und die regelmässige Wartung und Weiterentwicklung der sicherheitskritischen Infrastruktur. Dadurch wird sichergestellt, dass ein einmal aufgebauter Sicherheits- und Qualitätslevel nachhaltig eingehalten wird. Managed Security Services sorgen weiter für Sicherheit bei konstanten und planbaren Kosten. Weitere Vorteile finden Sie zusammengefasst in der Infobox auf dieser Seite.
Die Vorteile von Managed Security Services scheinen sich langsam herumzusprechen: Marktforscher erwarten in diesem Bereich zukünftig hohe Wachstumsraten. Gemäss übereinstimmenden Studien diverser Analysten wird ein durchschnittliches jährliches Wachstum von gegen 15 Prozent über die nächsten fünf Jahre erwartet.
Unternehmen sollten ihre ICT-Risiken eingehend analysieren und die notwendigen Gegenmassnahmen kennen. Zur Umsetzung dieser Massnahmen lohnt es sich, eine «Make or Buy»-Überlegung zu machen und vielleicht einen vertrauenswürdigen und kompetenten Partner für das Management der ICT-Security-Infrastruktur ins Auge zu fassen.
Unabhängig davon, wie die ICT-Sicherheit aufgebaut und betrieben wird, ist es entscheidend, dass die Mitarbeiter und Geschäftspartner für die Thematik sensibilisiert werden – denn trotz modernster Technik und allen Experten: Der Mensch ist und bleibt die Hauptfehlerquelle.
· Vertraglich definierte Service Level Agreements regeln Reaktionszeiten, Support-Zeiten, Life Cycle Management, Verantwortlichkeiten und beschreiben den gewünschten Leistungsumfang mit transparenten und kalkulierbaren Kosten.
· Überwachung und Betrieb der Security Services und dazugehörigen Infrastrukturen durch Spezialisten.
· Das Lifecycle Management wird durch den Security-Provider sichergestellt. Die Security-Infrastruktur ist stets auf einem aktuellen Stand – um gegen die heutigen und morgigen Gefahren gewappnet zu sein.
· Der Kunde investiert nicht in Hard- und Software, sondern in einen Service mit klarem Leistungsversprechen (Investitionsschutz).
· Standardisierte und skalierte Dienstleistungen ermöglichen Vorteile bei Kosten, Betrieb und Sicherheit. Der Kunde kann davon direkt profitieren.
· Hohe Flexibilität bei Leistungsanpassungen und Zugang zu Innovationen.
