Warum sich alle im IT-Team mit Security beschäftigen sollten

Sich mit der IT-Security vertraut zu machen, ist für viele Aspekte des IT-Betriebs wichtig. Viele Firmen versäumen es, alle ihre IT-Mitarbeiter in Sicherheitsfragen zu schulen

Im alltäglichen IT-Betrieb immer die notwendige Sicherheit zu gewährleisten, kann sich nahezu beliebig komplex gestalten. Damit IT-Sicherheit im Alltag wirklich gewährleistet wird, müssen Unternehmen in die Ausbildung des gesamten IT-Teams in Sachen Security investieren.

Je vertrauter alle im IT-Team mit Sicherheitsaspekten sind, umso leichter ist es, Sicherheitskonzepte und -Tools in der Praxis zu implementieren. Wir zeigen, warum es im IT-Betrieb immer noch Sicherheitsdefizite gibt, wo die Probleme in der Qualifikation liegen und wie man die Mitarbeiter auf den neuesten Stand bringen kann.

So hat sich Plamen Martinov, CISO des Open Commons Consortium in Chicago gegenüber den Kollegen von SearchSecurity.com bezüglich dieser Problematik geäußert. Es käme es in der Praxis häufig vor, dass bei Sicherheitsvorfällen auch IT-Mitarbeiter falsch reagieren würden. Dies läge unter anderem am mangelnden Verständnis der akuten Problematik sowie an ineffektiven und isolierten Kommunikationskanälen. Zudem wird häufig von falschen Voraussetzungen ausgegangen, wenn es um die Kenntnisse in Security-Fragen geht, was die Gesamtproblematik noch verschärft.

In anderen Bereichen des Unternehmens, wie beispielsweise Buchhaltung oder Marketing, ist es meist üblich, die Mitarbeiter kontinuierlich aus- und weiterzubilden. Fortbildung wird dort häufig als Grundlage für erfolgreiche Arbeit gesehen. Die IT wird da in einigen Unternehmen noch anders betrachtet und eingestuft. Es wird oft vorausgesetzt, dass jeder Mitarbeiter in der IT mit Security-Prozessen und -Verfahren vertraut ist. Laut Martinov sieht die Realität jedoch häufig ganz anders aus.

IT-Mitarbeiter sollten ein gemeinsames Verständnis von Security haben

Jetzt müssen nicht alle IT-Mitarbeiter, die beispielsweise für den reibungslosen Betrieb von Systemen zuständig sind, gleichzeitig Securiy-Experten sein. Aber es ist wichtig, dass sie die Sicherheitsrichtlinien des Unternehmens verstehen und auch die Grundlagen Anwendern vermitteln können.

Daher ist eine gemeinsame Sprache innerhalb der gesamten IT-Abteilung wichtig für den Informationsaustauch zwischen den verschiedenen Fachbereichen. Übergreifende Informationen wie beispielsweise zum IT-Grundschutz vom BSI (Bundesamt für Sicherheit in der Informationstechnik) können da ein Leitfaden sein.

Eine weitere Schwachstelle in der IT-Sicherheit betrifft die Tools, die Unternehmen zum Schutz ihrer Infrastruktur und Systeme einsetzen. Viele Unternehmen beschränken sich darauf, die Sicherheitsteams auf diesen Werkzeugen zu schulen.

Infolgedessen sind Security-Admins meist die einzigen, die von diesen Tools erzeugten Warnmeldungen richtig einordnen können und dementsprechend richtig reagieren. Das lässt andere IT-Mitarbeiter im Falle eines Falles dann erst einmal im Dunkeln tappen. Zudem kann es dazu führen, dass manche aus dem IT-Team, wie etwa Entwickler oder Netzwerk-Admins, ihren ganz eigenen Tools in Sachen Sicherheit einsetzen. Das führt zu unnötigen Überschneidungen und ist der Gesamtsicherheit häufig nicht dienlich.

So ist es sinnvoll die IT-Sicherheit in Unternehmen möglichst transparent und offen zu handhaben. Man sollte anderen Mitarbeitern aus der IT-Abteilung größtmöglichen Zugang zu allen notwendigen Ressourcen gewähren. Darüber hinaus ist es sinnvoll, die Mitarbeiter im Umgang mit den Sicherheitswerkzeugen zumindest grundlegend zu schulen. Moderne Sicherheitslösungen bietet meist gut lesbare Dashboards und Berichte, deren Kenntnis für alle IT-Mitarbeiter hilfreich sein kann.

Der Zugang zu den Sicherheitsinformationen, die dem Security-Team zur Verfügung stehen, kann auch andere Administratoren oder Entwickler in die Lage versetzen, aufgrund ihrer ganz eigenen Facherfahrung die richtigen Entscheidungen in Sachen Security zu treffen.

In Sachen IT-Sicherheit ist häufig ein Umdenken erforderlich

Damit das Thema Security in der gesamten IT und im gesamten Unternehmen verinnerlicht wird, ist durchaus ein Wandel von innen heraus erforderlich. Im Unternehmen samt Geschäftsführung und Führungskräften muss Einigkeit darüber herrschen, welchen Grad von IT-Sicherheitsrisiken man bereit ist zu tolerieren. Und diese Risiken müssen immer wieder neu bewertet werden.

In manchen Führungsetagen ist das Risiko in Sachen Datendiebstahl oder -verlust erst mit Verzögerung richtig wahrgenommen worden. Vermutlich ist man dann weniger risikobereit, als man eigentlich dachte. Es ist durchaus ein Unterschied, ob man kommuniziert, das Sicherheit eine Priorität ist oder ob man Sicherheit wirklich zur Priorität macht.

Die Führungsebene inklusive Geschäftsführung eines Unternehmens muss sich in Sachen IT-Sicherheit auf eine Art Identität einigen. Diese Identität muss dann ganz selbstverständlich zum Unternehmen gehören, wie andere Unternehmenswerte auch. Dann kann man die organisatorischen und kulturellen Maßnahmen angehen, um dieses Ziel zu erreichen.

Wenn IT-Sicherheit ganz selbstverständlich im Unternehmen gelebt wird, werden positive Resultate nicht nur von kurzer Dauer sein. Eine kontinuierliche Aus- und Weiterbildung in diesen Aspekten ist dafür ein wichtiger Faktor.

 

Share: