Wenn es um das Thema IT-Sicherheit geht, wird oft und gern auf allen Seiten die „Vogel-Strauß-Politik“ betrieben. Die Geschäftsleitung scheut die Investitionen, die Anwender verlassen sich auf die IT-Abteilung und bei den IT-Leuten steht das Projekt IT-Sicherheit ewig auf Priorität 2 (es gibt immer etwas, das wichtiger ist). Nicht beachtet wird, dass ohne entsprechende vorsorgende Maßnahmen ein kleiner Schaden schnell zur unternehmensbedrohenden Katastrophe werden kann.
Dabei muss IT-Sicherheit gar nicht teuer sein!
Um einen Sicherheits-Grundlevel zu erreichen bedarf es oft nur kleiner organisatorischer Änderungen. Schon wenn alle Mitarbeiter sensibel genug sind und die meist schon bestehenden Regelungen auch konsequent einhalten, ist ein großer Schritt gemacht.
Wichtig ist, beim Thema IT-Sicherheit den Blick nicht nur auf Hardware oder Software zu beschränken. Genauso wichtig ist die Sicherheit des Umfeldes – z. B. Zutrittskontrolle, Klimatisierung, Stromversorgung (inkl. USV).
Eine schlüssige Datensicherungs- und Auslagerungsstrategie sollte genauso selbstverständlicher Bestandteil jeder Business-IT sein, wie ein Konzept zum Schutz vor Viren, Hackern und Spam.
Idealerweise sind alle Richtlinien und Handlungsvorschriften in einer IT-Sicherheits-Policy festgeschrieben. Alle getroffenen Maßnahmen sollten transparent und aktuell dokumentiert sein.
Erst wenn diese Basissicherheit geschaffen ist, macht es Sinn, sich Gedanken über Hochverfügbarkeit zu machen.
Aktuelle Hardware-Komponenten verfügen heute in den meisten Fällen bereits über Sicherheits-Features wie redundante Bauteile und RAID-Systeme. Dies reicht nur oft nicht, um den geforderten Servicelevel der User erfüllen zu können. Im Zeitalter weltumspannender Netze und 24/7-Services bleibt kaum Zeit für Wartung, ganz zu Schweigen von Ausfällen und größeren Katastrophen.
Aber sind diese Anforderungen auch wirklich immer gerechtfertigt? Machen es sich die Fachabteilungen nicht vielfach zu einfach, indem Sie der IT diese Anforderungen aufbürden?
Aufschluss darüber kann nur eine Analyse der Fachbereichsverfahren und der Informationsflüsse im Unternehmen bringen. Welche Folgen (finanziell, Image, juristisch) hat ein Ausfall einer bestimmten Anwendung für einen Zeitraum x.
Und welcher Aufwand (Investition, Betriebskosten, Service) steht dem in der IT entgegen.
So entsteht ganz automatisch eine Prioritätenliste der kritischen Anwendungen. Für diese können dann gezielt Maßnahmen zur Sicherstellung der Verfügbarkeit getroffen werden. Ein Stufenplan zur Wiederherstellung aller Anwendungen nach einem Notfall sorgt für einen effektiven Einsatz der Ressourcen und einen akzeptablen ROSI (Return on Security Investment).
Stefan Koop
