IT-Security | Informationssicherheit

Der Ausrichung der IT Sicherheit kommt eine strategische Bedeutung zu. In arbeitsteiliger IT gehen im Idealfall SLA Inhalte, Prüfungsrechte und Meldepflichten einher mit technischen Schnittstellen. Erst die Aufstellung für künftige Anforderungen stellt die Weichen für neue Allianzen.

In kaum einem anderen Feld treffen so viele Fachdisziplinen aufeinander - bei zugleich enormer fachlicher Detailtiefe. Wenig verwunderlich: im Feld der Informationssicherheit entstehen daraus Herausforderungen im gemeinsamen Vokabular - oder zwischen Managementsystemen und Realität klafft eine Informationslücke.

Ob "Security Fabric" oder "Ecosystem" - es gilt, eine durchgängige Architektur mit einer funktionierenden API-Wirtschaft zu implementieren. Die Zeiten der Security-Silos mit best-of-breed Technologien ist vorbei. Die Anatomie einer Attacke nutzt diverse Angriffsvektoren gleichzeitig und auch sequentiell. Da erscheint die Abwehr von Schadcode und Hackern mit Firewalls und Antivirus-Agenten fast wie aus einem vergangenen Jahrhundert. 

Die Angriffsfläche der Supply Chain muss durchgängig transparent werden, der Sicherheitszustand aller bekannter Prevention-Tecnnologien ist zu korrelieren. Eingesetzte "as a Service" Produkte dürfen dabei keine blinden Flecken in der Security Sensorik erzeugen.

Ein Informationssicherheits-Managementsystem (ISMS) steuert die Sicherheit heute eher taktisch und strategisch. Die operative IT-Security wird selten eng mit dem ISMS verknüpft. 

Dabei ist genau dies der Schlüssel zu Automation und Effizienz: das ISMS sollte mit den operativen Konsolen verzahnen und mit einem "Security Cockpit" die Steuerung auch außerhalb des IT-Betriebes ermöglichen - im Kontext vorhandener Business Risiken. 

Tools verknüpfen heute Firewalls, Schadcodescanner, Verwundbarkeitsscanner und Directories - sogar mit Prozesswerkzeugen wie dem Changemanagement nach ITIL oder dem Risikomanagement. Die Zeit der Excel-Kataloge zum Datenaustausch in die Stabstellen ist ebenfalls vorbei.

Das "three lines of defense" - Modell ist ein Modell zur systematischen Herangehensweise an Risiken: operative IT Sicherheit, ISB / CISO und die  IT-Revision bilden beispielsweise diese Verteidigugslinien.  Nicht selten fokussieren Organisationen oder ganze Branchen zu stark auf eine der Disziplinen und schaffen zudem keine Verknüpfung der Funktionen. 

Der Governance in der Informationssicherheit kann der ISB (CISO), der DSB, die Revision, das Providermanagement, spezialisierte IT Controlling-Funktionen und auch ein IT-Risikomanagement zugerechnet werden. 

Diese Organisationseinheiten müssen ihren Kontrollfunktionen nachkommen können und ineinander greifen. Die nicht selten zu beobachtende Frontenbildung IT-Governance gegen IT-Betrieb steht einer effizienten IT im Weg.