Wenn es um IT-Sicherheit geht, sind viele kleine und mittlere Betriebe dabei, den Anschluss zu verlieren. In einem Bereich, der Expertenwissen erfordert, werden "Allrounder" eingesetzt. Um Sicherheit effektiv zu verbessern, muss umgedacht werden. Erste Schritte in diese Richtung sind bereits gemacht. In der Praxis fechten jedoch viele IT-Angestellte einen fast aussichtslosen Kampf.
Gesucht: Universal-Talent
Wenn man sich die Zusammensetzung des EDV-Personals anschaut, dann stellt man in der Regel fest, dass hier gute Arbeit geleistet wird. Mit einer traditionell eher dünnen Personaldecke und knappen Budgets müssen die alltäglichen Prozesse bewältigt und eventuelle Stolpersteine im laufenden Betrieb beseitigt werden. Was so ein EDV-Angestellter können muss? Alles: vom Anlegen, Verwalten und Administrieren von Benutzerkonten, über die Installation, Wartung und Betreuung von Anwendungen oder das Planen von (Sub-) Netzen und die Konfiguration von Routern bis hin zur Betreuung der Hardware. In jedem Bereich sind die Mitarbeiter in der Lage, die Dinge am Laufen zu halten.
IT = Sicherheit?
Schwierig wird es, wenn man speziell in den Bereich „IT-Sicherheit“ hineinschaut. Zwar wissen die meisten IT-Mitarbeiter, dass man Kommunikation verschlüsseln sollte, dass Rechteverwaltung wichtig ist und dass Sicherheit mehr bedeutet, als Passwörter zu vergeben. Wirklich tiefgreifendes Wissen fehlt allerdings oft.
Genau hier liegt das Problem: die Mehrzahl derer, die in einer EDV-Abteilung arbeiten, sind keine Experten im Bereich IT-Sicherheit. In der Anfangsphase der Digitalisierung in Büros und Werkhallen war dies auch nicht notwendig, beziehungsweise gab es die Anforderung auch nicht. Hier waren und sind Leute gefragt, die tragfähige Konzepte entwickeln und umsetzen sollten. Diese Aufgabe erfüllen sie gut. Um ein Netzwerk allerdings effektiv abzusichern, braucht es mehr als eine gute Planung der Infrastruktur. Das ist aber bei weitem nicht ausreichend. Die Planung sollte immer davon ausgehen, dass ein Notfall eintreten könnte. In einer idealen Welt werden Netzwerke von Grund auf mit dem Gedanken an die Sicherheit entworfen und aufgebaut. Die Wirklichkeit besteht allerdings meist aus historisch gewachsenen Strukturen, die es abzusichern und produktiv zu halten gilt. Es kommt daher eher selten vor, dass man auf der sprichwörtlichen „grünen Wiese“ ein komplett neues Netzwerk entwerfen kann.
Zuständigkeiten
Fragt man nach, wofür die EDV-Abteilung zuständig ist, dann ist die offensichtliche Antwort „Na, für die EDV natürlich“. Aber wofür genau sind die Mitarbeiter dieser Abteilung zuständig? Die Antwort beinhaltet mit hoher Wahrscheinlichkeit eine Variation von „Die EDV-Abteilung ist dafür zuständig, dass alle PCs, Server und damit verbundene Geschäftsabläufe ordnungsgemäß funktionieren und dass die Mitarbeiter arbeiten können“. Primäre Aufgabe der EDV-Abteilung ist also, den Betrieb aufrecht zu erhalten und hier und da neue Komponenten zu ergänzen und alte zu ersetzen. In der Frühzeit der Digitalisierung, bevor im Wochenrhythmus neue Sicherheitslücken aufgedeckt wurden, war das auch vollkommen angemessen. Als jedoch vermehrt Sicherheitsprobleme auftauchten, war in den meisten Unternehmen klar, dass es ja um Probleme mit der EDV geht - und für diese ist die EDV-Abteilung zuständig. IT-Sicherheit als eigenständige Disziplin fristete in Unternehmen lange Zeit allenfalls ein Nischendasein. Diese Praxis ist im besten Fall hochgradig belastend für die Mitarbeiter der IT, im schlimmsten Fall jedoch Grundlage und Ursache spektakulärer Sicherheitsvorfälle.
Auf jedem Fall ist sie jedoch nicht mehr zeitgemäß. Die Erkenntnis, dass Sicherheit mittlerweile eine immer größere Rolle in der modernen vernetzten Geschäftswelt einnimmt, beginnt allmählich, sich durchzusetzen. Jeder versteht, dass es für ein Unternehmen Verluste bedeutet, wenn durch Schadsoftware or Hardwaredefekte keine Rechnungen verschickt oder keine Ware mehr kommissioniert werden kann - oder wenn gar Betriebswissen oder Geschäftsgeheimnisse gestohlen werden. Alte Denkweisen und Gewohnheiten sind jedoch schwer abzulegen.
Teamwork
Genau hier liegt der Kern des Problems: Sicherheit braucht Zusammenarbeit und vor allem Zeit. Wenn die IT-Abteilung mit ihren Aufgaben ohnehin schon an der Belastungsgrenze ist, dann werden als erstes die Maßnahmen zurückgefahren, die am meisten Zeit in Anspruch nehmen und die für die Aufrechterhaltung des Betriebes am wenigsten kritisch sind. Tiefgreifende und effektive Sicherungsmaßnahmen sind so von vorneherein zum Scheitern verurteilt. Solche Vorhaben können sich insbesondere dann nicht durchsetzen, wenn entweder Angestellter oder gar der Geschäftsführer sich durch vorgeschlagene Sicherheitsmaßnahmen in seiner Arbeit behindert oder eingeschränkt fühlen.
Fakt ist: Die bisherigen Aufgaben bleiben weiterhin bestehen, während die Anforderungen an die Sicherheit stetig wachsen. Sicherheit ist in der IT längst mehr als nur ein Nebenschauplatz. Aus diesem Grund kann man sie auch langfristig nicht „nebenbei“ betreuen. Hier ist Expertenwissen gefragt, welches in den meisten Firmen nicht vorhanden ist. Die Aufgabe von Geschäftsleitungen besteht also künftig darin, dieses Wissen für den Betrieb verfügbar zu machen - sei es durch Neueinstellungen, Weiterbildung vorhandener Mitarbeiter oder den Einkauf externer Spezialisten. Gerade Letzteres kann für Betriebe sinnvoll sein, die nicht die Möglichkeit haben, eine eigene Stelle für einen Sicherheits-Experten zu schaffen.
Wird ein sicherheitsrelevantes Projekt von der Geschäftsleitung angeordnet, hat dies eine ganz andere Qualität als wenn ein Administrator versucht, gegen Widerstände von oben eigene Sicherheitsmaßnahmen umzusetzen oder externe Hilfe zu suchen.
Kein Selbstzweck
Einerseits ist IT-Sicherheit ein Thema, dass man unter keinen Umständen vernachlässigen sollte. Andererseits muss man auch der Tatsache Rechnung tragen, dass die meisten Unternehmen ihre Kernkompetenz nicht im Bereich IT-Sicherheit haben. Gerade hier kann man darüber nachdenken, einen externen Dienstleister speziell mit der Betreuung der IT-Sicherheit zu beauftragen. Die Anforderungen an die IT und damit auch an die IT-Sicherheit werden in Zukunft nicht kleiner werden. Betriebe und Dienstleister müssen sich daher mit dem Gedanken daran auseinander setzen, statt der nach wie vor gefragten „Allrounder“ auch Spezialisten für IT-Sicherheit einzustellen. Daran führt mittelfristig kein Weg vorbei, wenn Unternehmen ein tragfähiges Sicherheitskonzept vorweisen wollen, ohne dabei das Budget über Gebühr zu belasten.