„Zielbild für eine umfassende Security fehlt“

Viele IT-Leiter schieben das Thema Security wegen Ressourcenengpässen auf die lange Bank. Eine Lösung dafür kann sein, Aufgaben und Tätigkeiten auszulagern. Der IT-Dienstleister ITdesign bietet mit "Organisationsentwicklung" eine umfassende Beratung an. Geschäftsführer Michael Botek erklärt im Interview mit der ITWelt.at was dahinter steht. [...]

Michael Botek ist Geschäftsführer bei ITdesign. (c) ITdesign
Michael Botek ist Geschäftsführer bei ITdesign. (c) ITdesign

Wie gut sind Ihrer Meinung nach die Unternehmen beim Thema Security inzwischen aufgestellt? Werden genügend Vorkehrungen getroffen?

Ich denke diese Frage kann nicht mit Ja beantwortet werden, schon allein deshalb, weil „genügend“ nicht „genug“ sein kann. Speziell in großen Unternehmen sind Security-Projekte als Programm aufzusetzen, was leider noch zu wenig passiert. Was mir in vielen Unternehmen fehlt, ist ein Zielbild für eine umfassende Security und die GAP-Liste. Es werden oftmals einzelne Teilbereiche verbessert, ohne zu wissen, wo man auf der Reise steht. Man sieht den aktuellen Status auch an der Prognose vieler Analysten, dass Security in den nächsten Jahren als riesige Investitionsgröße gesehen wird. Allein daraus ist ersichtlich, dass noch nicht genügend Vorkehrungen getroffen wurden.

Wie sollte eine den aktuellen Bedrohungen gemäße Security-Strategie von Unternehmen aussehen? Welche Punkte müssen dabei besonders hervorgehoben werden?

Ich denke, die Formulierung „aktuelle Bedrohungen“ ist zu allgemein gefasst, weil unterschiedliche Strategien für die verschiedenen Bedrohungen notwendig sind. Nehmen wir die Social-Engineering-Bedrohung oder lateral-movement-Methode heraus, Stichwort Verschlüsselung, um Geld zu erpressen. Dabei geht es bekanntlich darum, dass der Angreifer letztlich einen administrativen Account übernimmt. Die Strategie muss sein, dass alle administrativen Accounts mittels Software disabled sind, wenn sie nicht verwendet werden und das Passwort stark ist und oft geändert wird. Das bezieht sowohl Maschinen-Accounts als auch administrative Benutzerkonten von internen und externen Spezialisten mit ein. Darüber hinaus sollte der Wirkungsbereich von diesen Accounts reduziert werden. Eine aus meiner Sicht vergleichsweise recht einfache Aufgabe. Trotzdem ist es für mich verwunderlich, wie wenig Unternehmen PAM (Privileged Access Management) vollständig gelöst haben.

Aufgrund der derzeitigen angespannten wirtschaftlichen Situation schieben viele IT-Leiter das Thema auf die lange Bank. Was würde Sie diesen IT-Leitern raten?

Es gibt mehrere Empfehlungen: Sucht Euch einen Externen, zu dem ihr Vertrauen habt und lasst Euch an der Hand nehmen. Sucht leicht auslagerbare Aufgaben und gebt sie außer Haus, damit die Keyplayer Zeit für Security haben. Versucht dem Management vor Augen zu führen, welchen Schaden eine Attacke anrichtet, dann bekommt ihr auch in wirtschaftlich schwierigen Situationen das notwendige Geld. Erstellt einen Plan, dann werdet ihr sehen, dass die wenigen Ressourcen viel engagierter die Einzelaufgaben erledigen. Security verbessernde Maßnahmen on top zu fordern, funktioniert nicht. Vielmehr muss für einen definierten Zeitraum eine Security-first-Strategie gefahren werden. Solche und ähnliche Empfehlungen gebe ich öfters ab.

Welche Produkte bietet ITdesign konkret an, um Unternehmen sicherer zu machen?

Infolge der fehlenden Mitarbeiter können wir nur wenige Bereiche besetzen. Deshalb fokussieren wir auf PAM (Privileged Access Management), IDM (Identity Management) und Security Analysen inklusive Umsetzung im Windows- und Linux-Umfeld. Zusätzlich beinhalten alle neuen Managed-Services-Verträge auch das Thema „stay secure“. Am besten funktionieren derzeit neben IDM mit Abstand PAM-Projekte. In dem Bereich gibt es aktuell sehr viele Anfragen.

Zeit ist eine der Ressourcen, die immer knapper zu werden scheinen. Auch andere „nicht-technische“ Herausforderungen verzögern oft ein IT-Projekt. Was steht hinter der Organisationsentwicklung von ITdesign und wie kann diese Unternehmen dabei helfen, IT-Projekte erfolgreich zu meistern?

Wir haben unseren Kunden zugehört und dabei vernommen, dass IT-Projekte oftmals zu wenig auf die Anforderungen des Business abgestimmt sind. Dies wird immer mehr als Problem gesehen, das gelöst werden muss. Deshalb haben wir uns schon vor einiger Zeit dazu entschlossen, einen Unternehmensberater mit IT-Affinität an Bord zu holen, um diesen Schulterschluss anbieten zu können. Durch gezielte Fragestellungen und organisatorische Projektbegleitung steigern wir den Nutzen unserer Projekte für den Kunden nachhaltig. Projekte in Themengebieten wie DevOps, ITSM aber auch so banal anmutende IT-Themen wie „Umstieg auf M365“ werden oftmals gewonnen, weil wir nicht nur die technische, sondern auch die organisatorischen Aufgaben in solchen Projekten mitanbieten können.

Wie sieht die Strategie von ITDESIGN für 2023 aus?

Strategisch setzen wir einerseits auf die Wiederbelebung von Themenfeldern (z.B. New Work), die proaktiv Ideen für die Kunden bringen werden, um die adhoc-Entscheidungen in der Pandemie wieder zu funktionierende Einheiten zu formen. Andererseits werden wir unser Managed-Services-Angebot deutlich ausbauen. Wir sind in der Umsetzung unserer Strategie leider gebremst durch fehlende Ressourcen und die situative, kurzfristige Handlungsweise unserer Kunden.


Mehr Artikel

News

ISO/IEC 27001 erhöht Informationssicherheit bei 81 Prozent der zertifizierten Unternehmen

Eine Umfrage unter 200 Personen verschiedener Branchen und Unternehmensgrößen in Österreich hat erstmals abgefragt, inwiefern der internationale Standard für Informationssicherheits-Managementsysteme (ISO/IEC 27001) bei der Bewältigung von Security-Problemen in der Praxis unterstützt. Ergebnis: Rund 81 Prozent der zertifizierten Unternehmen gaben an, dass sich durch die ISO/IEC 27001 die Informationssicherheit in ihrem Unternehmen erhöht hat. […]

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*