Sicherheit versteckt sich gerne

Bild, bei dem man ohne weitere Informationen nicht weiss, was darauf abgebildet ist.

Wieso sieht man einer Firma nicht von aussen an, wie gut ihre IT-Sicherheit ist? Einige Überlegungen aus Erfahrung.

IT-Sicherheit ist schwierig. Das ist so schwierig, wie eine verwinkelte mittelalterliche Stadt vor Gaunern zu schützen: Eine Schlupfloch reicht dem Angreifer; die Verteidiger müssen in tausenden Gässchen dafür sorgen, dass nichts passiert.

Es gibt keinen fixen Regelkatalog, der IT-Sicherheit löst. Denn IT-Sicherheit ist ein Prozess, eine Lebens- oder Firmeneinstellung. Mit strukturiertem Vorgehen kann man aber vieles erreichen:

Datensicherheitszertifikate wie ISO 27001 oder Sicherheitsberichte wie SOC 2 Type 2 sind leider nur ein Indiz, keine Gewähr. Sie zeigen aber immerhin, dass sich jemand in der Firma mal intensiv über Vorkehrungen zu IT-Sicherheit Gedanken gemacht hat.

Aber Vorsicht: Manchmal beziehen sich diese Dokumente aber nur auf einen kleinen Bereich der Firmenaktivitäten. Und dem Dokument sieht man auch nicht an, ob dieses Dokument auch von allen Mitarbeitern und der Führungsriege(!) auch so gelebt wird.

Denn Zertifikate und Hochglanzbroschüren sind günstiger, als IT-Sicherheit wirklich konsequent umzusetzen.

Und bis zum ersten grossen Sicherheitsvorfall merkt auch ausserhalb der Firma niemand wirklich, dass bei IT-Sicherheit geschlampt wurde.

Aktuelles zu IT-Sicherheit

,

Bleibe auf dem Laufenden!

Erhalte eine Mail bei jedem neuen Artikel von mir.

Ca. 1-2 Mails pro Monat, kein Spam.

Folge mir im Fediverse


Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.


Webapps