Warum organisatorische Sicherheit mehr als nur ein Papiertiger ist
In Zeiten stetiger Cyber-Angriffe wächst die Angst von Unternehmen selbst Opfer zu werden. Diese Angst ist auch nicht unberechtigt. In den regelmäßig veröffentlichten BSI-Lageberichten wird immer deutlicher, wie verwundbar Unternehemen sind und in welchem Maße die Angriffswellen zugenommen haben. Botnetze, staatliche Akteure, Wirtschaftsspionage, Ransomware, Phishing-Angriffe - die Gefahren sind vielfältig.
Gleichzeitig wird in den Unternehmen immer mehr Geld für die Verteidigung gegen solche Angriffe ausgegeben. Laut Branchenverband Bitkom lagen die Ausgaben für IT-Sicherheit im Oktober 2023 bei 9,2 Milliarden Euro; im Dezember 2024 bei 11,2 Milliarden. Tendenz weiter steigend.
Es stellt sich jedoch die Frage, ob dieses Geld auch effizient eingesetzt wird oder ob diese Summen in blindem Aktionismus verpuffen. Uns sprechen immer wieder Kunden an, die "etwas gegen Ransomware" tun wollen. Am besten wäre es, so heißt es dann weiter, wenn man einfach ein Tool installieren könnte, damit alles gut wird.
Wir möchten in diesem Beitrag dafür argumentieren, dass es sich immer lohnt, zunächst einen ganzheitlichen Blick auf die Organisation und die Infrastruktur zu blicken, anstatt sofort Geld für ein Tool auszugeben. Nur so können diejenigen Maßnahmen gefunden werden, die zur Umgebung und den Gefahren passen. Auf diese Weise wird jede Investition in IT-Sicherheit effizient eingesetzt.
Warum technische Maßnahmen keinen umfassenden Schutz bieten
Die Härtung des Betriebssystem, regelmäßige Scans nach verwundbaren Systemen im Unternehmensnetzwerk, die Nutzung verschlüsselter Kommuniktation oder das Einrichten eines Monitoringsystems: dies sind alles valide technische Maßnahmen, um die IT-Sicherheit zu erhöhen.
Nun stelle man sich aber folgende Gedankenspiele vor. Während einer Zugfahrt wird der Arbeits-Laptop beim Gang zum Board Bistro nicht gesperrt, so dass ein Zugriff für Dritte möglich ist. Beim Weggang von Beschäftigten werden die Zugangs- und Zugriffsberechtigungen nicht wieder entzogen, weil HR und IT-Abteilung nicht voneinander wissen. Oder Datenträger mit sensibelen Informationen werden verkauft und die Daten darauf von Dritten gefunden und ausgenutzt.
Dies sind alles Szenarien, die tatsächlich immer wieder zu Problemen in Unternehmen führen. Das ist aus zwei Gründen interessant. Zum einen zeigen die Beispiele, dass die Installation von Tools nicht vor allen Gefahren schützen kann. Zum anderen verdeutlichen sie, dass manchen Gefahren mit vergleichsweise einfachen und kostengünstigen Mitteln entgegen gewirkt werden kann.
Missverständnisse zu organisatorischer Sicherheit
IT-Sicherheit wird also nicht bloß mit technischen Mitteln erzielt. Zwar sind technische Maßnahmen wie die Installation einer Endpoint Protection ein probates Mittel zur Steigerung der Sicherheit. Und diese Maßnahmen geben der Geschäftsführung zumindest erst einmal ein gutes Gefühl. Dieser Sicherheits-Kartenturm fällt jedoch leider in sich zusammen, wenn die Basis fehlt. Der Fokus darf deshalb nicht nur auf technische Maßnahmen liegen. Es muss ein ganzheitlicher Ansatz verfolgt werden, der zusätzlich die weiteren Grundpfeiler eines Unternehmens betrachtet: die internen Prozesse und die Beschäftigten. Organisatorische Sicherheit versucht genau diese Felder abzudecken.
Leider wird organisatorische Sicherheit oft mit dem Erhalt von Zertifikaten gleichgesetzt. Sie wird als ein einmaliges Projekt gesehen. Danach erhält man demnach ein Zertifikat, das auf der Webseite und Visitenkarten sehr schön aussieht. Diese Sicht ist gleich doppelt schädlich. Die einen lassen sich (erfolgreich!) zertifizieren, aber haben womöglich keine echten Fortschritte gemacht, weil es ihnen nie darum ging, die Sicherheit zu erhöhen. Die anderen sind davon abgeschreckt und verbinden mit organisatorischer Sicherheit eine Menge Papierkram ohne echten Nutzen.
Diese Sicht verkennt die Vorteile von organisatorischer Sicherheit bzw. folgt einem konservativen Blick darauf. Man kann die Methoden anwenden, rein um Compliance zu erzeugen. Man kann diese Methoden aber auch dafür nutzen, Ressourcen gezielt zur Steigerung der IT-Sicherheit einzusetzen und getroffene Maßnahmen in einem regelmäßigen Prozess neu zu bewerten und anzupassen, sobald sich die Grundbedingungen geändert haben.
Wie man es richtig macht
Wenn Kunden zu uns kommen, um sich fit für ein Zertifikat zu machen (zum Beispiel das bekannte ISO27001), dann helfen wir gerne dabei, die Anforderungen zu erfüllen. Wir achten dabei jedoch immer darauf, nur die jenigen Maßnahmen umzusetzen, die einen tatsächlichen Mehrwert bringen.
Allen anderen Kunden empfehlen wir auf ähnliche Weise, aber mit einer gehörigen Portion Pragmatismus, einen Prozess zur Steigerung der IT-Sicherheit im Unternehmen zu etablieren. Das beinhaltet dann zum Beispiel:
- die Einführung von Rollen und Verantwortlichkeiten,
- eine strukturierte Betrachtung der Geschäftsprozesse und ihrer Abhängigkeit von IT oder
- die Bewertung von Gefahren und Entscheidung für Maßnahmen.
In diesem Rahmen wird dann unter Umständen festgestellt, dass die IT derzeit gut aufgestellt ist, aber bisher zu wenig Sensibilisierung bezüglich IT-Sicherheit bei den Beschäftigten vorhanden ist. Oder es wird festgestellt, dass die Beschäftigten gar nicht klar wissen, was sie eigentlich tun dürfen oder sollen und was sie zu unterlassen haben. Dann wird zunächst hier mittels Sensibilierungsmaßnahmen und expliziten Benutzerhinweisen entgegengewirkt.
Vielleicht fällt aber auch auf, dass es kein durchgehendes Backup-Konzept gibt, der Schutz vor Gefahren derzeit aber sonst angemessen ist. Dann ist es effizienter, ein Backup-Konzept auszuarbeiten, als eines neues Tool für IT-Sicherheit einzukaufen.
Wir arbeiten stets mit unseren Kunden diejenigen Lösungen aus, die in einem gesunden Verhältnis stehen zu Kosten und den tatsächlichen Gefahren. Wenn es also das nächste Mal um organisatorische Sicherheit geht, dann muss man nicht vor Angst vor Aktenordner zusammenschrecken. Stattdessen kann man sich auf fruchtbare Diskussionen über die effizientesten nächsten Schritte zur kontinuierlichen Verbesserung der IT-Sicherheit freuen.