Mythos 10 – IT Sicherheit ist teuer und unkomfortabel…

Mythos 10 - IT Sicherheit

Die meisten Mitarbeitenden stehen dem Thema IT Sicherheit äusserst skeptisch gegenüber. Wie könnten Sie auch die menschenverachtenden Passwort-Richtlinien vergessen, welche die IT-Abteilung im vergangenen Jahr eingeführt hat?

Die haben doch tatsächlich verlangt, dass die verwendeten Passwörter mindestens acht Zeichen, Zahlen, Gross- und Kleinbuchstaben sowie Sonderzeichen enthalten müssen. Als ob dieser Aufwand nicht schon schlimm genug wäre, kam kurz darauf auch noch die Anweisung, dass die Passwörter nicht aufgeschrieben werden dürfen. Da wird doch tatsächlich vom Mitarbeiter erwartet, dass er sich ein solch hochkomplexes Passwort merken müsse. Geht es nach den betroffenen Usern, ist die Unterseite der Tastatur der sicherste Aufbewahrungsort für die Passwörter – Schliesslich funktioniert dasselbe Prinzip mit dem Schlüssel unter der Matte schon seit Jahren zu Hause.

Nicht auszumalen, welch hoher Zeit- und Komfortverlust entstanden ist, als die Informatikabteilung auch noch forderte, dass nach Verlassen des Arbeitsplatzes der PC gesperrt werden muss!

Verärgerte Mitarbeitende sorgten in vielen Unternehmen dafür, dass die Geschäftsleitung aufgrund der wachsenden Unzufriedenheit die Massnahmen wieder lockern liessen. Aus subjektiver Sicht absolut verständlich, denn im Gegensatz zur IT-Abteilung werden die Massnahmen nicht rein technisch betrachtet.

Direkte Kosten für die Umsetzung risikomindernder Massnahmen sind die offensichtlichsten Kosten und in der Geschäftsleitung am unbeliebtesten, da sie als Aufwand sofort erfolgswirksam sind, ohne jemals direkten Cashflow zu generieren.

Es ergeben sich also aus Sicht der GL folgende Probleme:

  • Unzufriedene Mitarbeitende, welche “nicht mehr richtig” arbeiten können.
  • Ein hoher finanzieller sowie personeller Aufwand, welcher kein finanzieller Mehrwert generiert.

Unteranderem diesen Tatsachen ist es geschuldet, dass heute der Bereich IT Sicherheit in vielen KMUs fälschlicherweise als zu teuer und nicht alltagstauglich gilt.

Fehleranalyse

IT Sicherheit falsch angegangen?

Das zuvor geschilderte Szenario ist bedauerlicherweise in den meisten Unternehmen in vielerlei Varianten anzutreffen. Doch wo liegt der Fehler und warum wiederholen sich diese?

Unseren Beochbachtungen nach kann dies auf folgende Punkte zurückgeführt werden:

  • Unterschätze Komplexität
  • Fehlendes Know-how im Bereich IT Sicherheit
  • Fachkräfte sowie Personalmangel in den IT-Abteilungen

Ein solider Richtliniensatz nachträglich in Betrieb zu nehmen ist äussert schwierig, da die Konsequenzen für das bestehende System nur äusserst schwer einzuschätzen sind. Je heterogener die Umgebung, desto komplexer wird das Vorhaben. Fehlende Sensibilität sowie Know-how reicht vom normalen Mitarbeiter über die Geschäftsleitung bis hin zur IT-Abteilung / IT-Dienstleister.

Dazu kommt noch die menschliche Skepsis gegenüber Veränderungen. «Es ist ja noch nichts passiert, also sind auch keine Massnahmen notwendig.» Leider führt dieser Denkfehler immer wieder dazu, dass Unternehmen sich nach einer unverhofften Cyberattacke in ihrer Existenz bedroht sehen. Die Akzeptanz für IT Sicherheit wurde auch während der Corona Pandemie immer wieder gemindert. Es musste plötzlich ohne ausreichendes Know-how oder ausreichender Planungszeit gehandelt werden. In der Konsequenz gehörten Fehlentscheidungen und hektisches zurückrudern zur Tagesordnung.

Einbezug der Mitarbeitenden

Eine solide, sichere IT-Infrastruktur kann nur durch Einbezug aller Mitarbeitenden aufgebaut werden. Das Thema IT Sicherheit betrifft alle und muss entsprechend auch in der Firmenkultur verankert werden. Nur so kann die Akzeptanz und Mitarbeit der Angestellten erhöht werden.

Stichwort: Sinnvermittlung.

Vor einigen Jahren noch waren Arbeitnehmer auf Arbeitgeber angewiesen. Die Zeiten haben sich aber geändert. Gute Arbeitnehmer sind in den meisten Branchen Mangelware. Arbeitnehmer können sich daher mehr leisten. Wenn es im gegenwärtigen Unternehmen nicht hinhaut, wechselt man einfach den Arbeitgeber. Das nächste Unternehmen wird sich freuen. Die Firmen, welche sich mit dieser Thematik auseinandergesetzt haben, wissen, dass man Arbeitnehmer miteinbeziehen muss, um nachhaltig Erfolg zu haben.

Sehr ähnlich verhält es sich mit dem Thema IT Sicherheit. Alle Angestellten und Führungskräfte müssen miteinbezogen werden. Sie sind ein wichtiger Bestandteil der Datenverarbeitungskette und nach wie vor das attraktivste Ziel Cyberkriminneller.

Rückhalt in der Geschäftsleitung

IT Sicherheit ist Chefsache!
Wie wir bereits im Mythos 3 «Cybersecurity ist Informatiksache» beschrieben haben.

Dabei gelten folgende Grundregeln:

  • Die Verantwortung für die Informationssicherheit liegt beim Management und kann nicht delegiert werden.
  • Informationssicherheit muss in alle Prozesse und Projekte integriert werden, bei denen Informationen übertragen, verarbeitet und genutzt werden.
  • Der Informationssicherheits-Prozess muss vom Management überwacht werden.
  • Für den IT-Betrieb und die Informationssicherheit müssen ausreichende Ressourcen bereitgestellt werden.
  • Es müssen die organisatorischen Rahmenbedingungen für die Informationssicherheit festgelegt werden.
  • Die Umsetzung muss wirtschaftlich sein. Informationssicherheit darf nicht mehr kosten als die damit erreichte Risikominimierung.
  • Die Informationssicherheit muss in sinnvoller Relation zum Schutzbedarf stehen (Angemessenheit)
  • Die Schutzmassnahmen müssen realisierbar sein und dürfen die Sicherheitslage nicht verschärfen (Praktikabilität).
  • Die Schutzmassnahmen müssen nachweisbar Bedrohungen abwehren bzw. Risiken mindern (Wirksamkeit).
  • Informationsicherheit darf nicht behindern und muss von allen als Notwendigkeit verstanden werden (Akzeptanz).
  • Die Informationssicherheitspolitik (-Strategie) muss regelmässig überprüft werden (Kontrolle)

IT Sicherheit kann nur wirkungsvoll und nachhaltig umgesetzt werden, wenn sie ein fester Bestandteil der Unternehmenspolitik ist und wenn das Sicherheitsmanagement organisatorisch im Unternehmen eingebunden wird.

Damit Informationssicherheit erfolgreich umgesetzt werden kann, ist die volle Unterstützung des Managements nötig!

IT Sicherheit = teuer? Nein!

Meist liegt der Grund für die hohen Kosten an einem der folgenden Punkte:

  • Falsche Goldrandlösungen (z. B. Einsatz von einer Firewall mit verschiedenen Security Service Subscriptions – die dann doch nicht komplett umgesetzt werden. Gutes Beispiel: DPI-SSL)
  • Teure Investitionen in einem Bereich (z. B. teure Antiviren Lösung – aber im Bereich Netzwerk keine Massnahmen)
  • Fehlende Kontinuität (z. B. Einsatz von NDR/EDR/XDR, mit fehlender Weiterentwicklung / Anpassung an neue Gegebenheiten)
  • Falsche Einschätzung, da augenscheinlich nicht gewinnbringend (Sollte als Art Versicherung betrachtet werden)

Es gibt sehr viele Lösungen zu Problemen in den verschiedensten Bereichen. Es muss aber nicht immer die neuste Software oder der best-klingende Cloud-Service sein.

Viele Massnahmen können ohne grossen finanziellen Aufwand realisiert werden, z. B. lediglich durch Nutzung bereits vorhandener Funktionen in bestehenden Systemen.

T-Alpha GmbH

IT Sicherheit muss nicht teuer und unkomfortabel sein! Zu diesem Zweck wurde die T-Alpha GmbH gegründet.

Die beiden Autoren Ivan Stricker und David Dutler haben zusammen mehr als 15 Jahre im Bereich IT-Support sowie IT-Dienstleistung gearbeitet. Dabei wurde die Erfahrung gemacht, dass grundsätzlich viele bereit wären, etwas für die IT Sicherheit zu tun. Aus den zuvor genannten Gründen (Kosten, fehlende Unterstützung des Managements, der Mitarbeitenden, der IT-Abteilung oder dessen Dienstleister) werden diese guten Vorsätze bedauerlicherweise immer wieder versäumt.

Unserer Meinung nach ist der Zugang zu Wissen sowie die persönliche oder unternehmerische Sicherheit ein Grundrecht. Entsprechend sollten auch Dienstleistungen in diesen Bereichen für Unternehmen jeder Grössenordnung finanzierbar sein.

Für Verwaltungen, Behörden und KMUs haben wir daher eine massgeschneiderte Überprüfung entwickelt. Welche nicht nur organisatorische Aspekte berücksichtigt, sondern auch eine breite technische Überprüfung. Den KMU-Check

IT Sicherheit - KMU-Check

Zudem wurden Massnahmen entwickelt, die zu Ihrem Budget und ihren bestehenden Systemen passen, ohne dabei neue Hardware oder Software anzuschaffen. Wir helfen Ihnen, aus ihren bestehenden Systemen, das maximal an Schutz rauszuholen.

Leitsatz

Alle unsere Dienstleistungen basieren auf dem Prinzip:
„Wir verkaufen unser Wissen! Nicht ein Produkt, welches anschliessend auch noch abhängig macht“.

Wir sind bestrebt, dass der Kunde nach unseren Diensten in der Lage ist, auf eigenen Beinen zu stehen. Dies setzt natürlich voraus, dass die Mitarbeitenden, IT-Abteilung oder -Dienstleister sowie Kader auch gewillt sind, Neues zu lernen und dies auch konsequent umzusetzen.

Auf dieser Grundlage kann anschliessend eine solide Partnerschaft aufgebaut werden. Umsetzung aufseiten des Kunden, Miteinbezug der IT-Abteilung oder des IT-Dienstleisters sowie kontinuierliche Verbesserung seitens T-Alpha. Ein in sich geschlossenes interdependentes System.

Zudem sind wir bei T-Alpha grosse Befürworter von Open Source. Wir setzen selbst überall Open Source Produkte ein, wo es möglich und sinnvoll ist. Und werden Ihnen diese tollen Tools und Software-Produkte nicht verheimlichen.

Fazit

Das Thema IT Sicherheit wird mit der Zeit nicht weniger relevant. Im Gegenteil, es wird immer relevanter. Es geht Hand in Hand mit dem technologischen Fortschritt sowie der andauernden Digitalisierung.

IT Sicherheit - Zitat

Daher ist es für Sie an der Zeit, sich mit der T-Alpha GmbH einen starken Partner für Ihren zukünftigen Erfolg zu sichern, mit dem Sie in der Lage sind, die zukünftigen Anforderungen und Bedrohungen zu meistern.

Weitere Blog-Beiträge

Ein blaues Auge in Nahaufnahme, umgeben von digitalen Linien und Text „Beyond Prevention: Blue Team Operations“, das Security Monitoring symbolisiert. Unten rechts das Logo von T-Alpha IT Security.
Threat Detection and Analysis

Ransomware Insights: Erkennung und Abwehr von Angriffen

Ransomware bleibt eine der grössten Bedrohungen für Unternehmen, doch der wahre Schutz beginnt erst, wenn ein Angreifer bereits im Netzwerk ist. Klassische Sicherheitsmassnahmen wie Firewalls und Antivirus reichen nicht mehr aus, um heutige Angriffe zu erkennen und abzuwehren. In diesem Beitrag zeigen wir, wie Forensic Validation und spezialisierte Blue Team-Strategien helfen, Angreifer frühzeitig zu identifizieren und ihre Aktionen zu stoppen. Entdecken Sie, warum Erkennung und Reaktion unverzichtbare Bestandteile einer modernen Cybersicherheitsstrategie sind.

Ivan Stricker 13/11/2024
„Ransomware Insights 2024: Ausgenutzte Sicherheitslücken in populären Software-Produkten“ – Eine Grafik der T-Alpha GmbH zur Darstellung der häufigsten Angriffspunkte von Ransomware-Gruppen im Jahr 2024. Zu den betroffenen Anbietern gehören unter anderem Citrix, Fortinet, Veeam, Apache, Microsoft Exchange, Cisco, und VMware. Das T-Alpha-Logo ist oben rechts platziert, die Liste der Software-Anbieter in der unteren Hälfte.
Cyber Threat Intelligence

Ransomware Insights

Sicherheitssoftware im Visier der Cyberkriminellen Ransomware bleibt auch 2024 eine der grössten Bedrohungen für Unternehmen weltweit. Im Rahmen unseres Threat-Intelligence-Programms haben wir die aktivsten und

Ivan Stricker 05/11/2024
  • Home
  • Über Uns
  • Referenzen
  • Security Checks
  • Awareness Training
  • Security Assessment
  • Kontakt
  • Blog