Die Nachfrage nach IT-Sicherheitsdienstleistungen ist ungebrochen hoch. Umso verständlicher ist es, wenn sich viele "klassische" IT-Dienstleister für das Thema interessieren und entsprechende Produkte anbieten. Wer kennt es nicht, dass beim Netzwerkdienstleister des Vertrauens Firewalls gleich mitgemacht werden.

Doch in welcher Qualität?

Begrenzte Sichtweise + hohe Komplexität

Viele Dienstleister versuchen die Arbeitsweisen und Erfahrungen aus ihrem Spezialgebiet auf die IT-Security umzulegen und erreichen dabei nur bescheidene Erfolge. Die Kassen klingeln zwar, doch über die fehlende Expertise im Hintergrund will man lieber nicht nachdenken. Aber solange nichts passiert, kommt auch niemand drauf.

Die Komplexität der Technologien hat wie die des Themas rasant zugenommen. Die Next-Generation Firewalls von heute können "eh schon fast alles": HTTPS-Inspection, Antivirus, Threat Emulation, Threat Extraction, DLP, Application Control, usw.
Von klassischer Netzwerksicherheit, wie wir sie vor 30 Jahren hatten sind wir heute weit entfernt. Und trotzdem werden noch heute viele Firewalls nur wie "buntere Access Control Lists" behandelt.

Die Folgen sind fatal: Undurchdachte und veraltete Regelwerke, hohe Lizenzkosten und kaum Sicherheit/Mehrwert.

Noch viel schlimmer, wenn man glaubt, dass das Thema "IT-Sicherheit" damit erledigt ist. Die Situation ist eigentlich absurd. Als würde man, egal ob bei Kopfschmerzen, verletztem Knie oder Schwangerschaft immer zum Lungenfacharzt des Vertrauens laufen.

Doch wie kam es dazu?

Es geht nicht darum, Dienstleister anzuprangern, denn Schuld sind wir IT-Security-Expert:innen selbst.
Viel zu lange haben wir uns dazu hinreißen lassen, einfache Antworten zu geben.

"Jedes Unternehmen braucht Antivirus, Firewall und sichere Passwörter."
"Die drei wichtigsten Maßnahmen sind..."
"Wenn Sie das machen, dann kann schon nicht mehr so viel passieren..."

"Hab ich, passt, Häkchen drunter, Thema erledigt" denken sich dann viele.

Mit Nichten.

Fähigkeitenaufbau

Für die kommenden Jahre wird es entscheidend sein, dass sich sowohl "klassische Dienstleister" als auch Unternehmen qualifiziert mit dem Thema auseinander setzen um die nächste Stufe zu erreichen und zukunftssicher zu bleiben. Es kann nicht ewig gut gehen, dass wir mit Feigenblättern durch die Gegend laufen und so tun, als ob.

Konkrete Maßnahmen

• Fühlen Sie Ihren Dienstleistern auf den Zahn:
• Was ist der Ausbildungsstand der zuständigen Mitarbeiter:innen?
  • Was ist der Bildungshintergrund? Wer hat IT-Security studiert?
  • Wie steht es um die Sicherheit im eigenen Unternehmen?
  • Welche Managementsysteme, Prozesse und Zertifizierungen sind etabliert?
  • Fragen Sie nach einer Liste der TOMs (technischen und organisatorischen Maßnahmen)
• Investieren Sie in Ihr eigenes Personal!
  • Ein:e gute Mitarbeiter:in ist mehr wert als ein teures Produkt
  • Ermöglichen Sie hochwertige Ausbildungen. Das Return-on-Investment ist ein Vielfaches!
  • Hören Sie auf Ihre Mitarbeiter:innen wenn Sie sich mit Sorgen und Bedenken an Sie wenden
• Ignorieren Sie die Werbetrommeln und gehen Sie das Thema strukturiert an
  • Oft scheitert es an den "einfachsten Hausübungen"
  • Vieles kann mit einfachsten Methoden und ohne große Investitionen erreicht werden (z.B. Hardware- und Softwareinventories, Notfallkontaktlisten, Deaktivieren alter/ungenutzter Services, ...)
  • Seien Sie misstrauisch bei "magische Wunderlösung"
  • Achten Sie darauf, dass Ihnen eine ausgewogene und ganzheitliche Sichtweise präsentiert wird
• Für alle Dienstleister: Stehen Sie zu Ihren Schwächen und vermitteln Sie gegebenenfalls an passende Expert:innen

Wie immer freuen wir uns über Feedback und spannende Diskussionen an thomas@section8.eu