Grenzenlose Freiheit nicht möglich

Daten sind das Kapital des 21. Jahrhunderts und ihr Wert steigt tagtäglich. Meldungen über Datenverluste und Datendiebstähle häufen sich und die Gefahren für das Kapital einer Unternehmung werden kontinuierlich grös­ser. Wie so manches in der heutigen Zeit hat sich auch die Kriminalität entsprechend verändert und verlagert sich zunehmend in die elektronische Welt. Wirtschaftsspionage wird vom Computer aus betrieben und neue Geschäftsmodelle für die Beschaffung von geheimen Informationen – der sogenannte Cyber Crime – laufen ihrer Blütezeit entgegen.

Flexibilität vs. Sicherheit

Notwendige Schutzmassnahmen fehlen dennoch in den meisten Unternehmungen, denn IT-Sicherheit und Datenschutz werden oftmals als Belastung und notwendiges Übel empfunden. Das Interesse an einer grösstmöglichen IT-Sicherheit lässt sich selten mit der grösstmöglichen Flexibilität für die Mitarbeiter vereinbaren. Denn umso mehr Freiheiten es beim Zugriff auf Firmendaten gibt, desto grösser ist die Möglichkeit, dass dies zu bewusstem oder ganz unbewusstem Datenabfluss führt. Bildlich ausgedrückt: Man stelle sich einen Auto-Sicherheitsgurt aus Gummibändern vor. Auch dieser würde im Notfall nicht ausreichend Sicherheit bieten, sondern es bedarf eines richtigen Gurts, um sich zu schützen. Sicherheit kann nicht mit grenzenloser Flexibilität Hand in Hand gehen.

Geschäftsprozesse müssen sich verändern können, denn der Markt wandelt sich kontinuierlich und damit entstehen neue Anforderungen an Unternehmen. Und hier beginnt der Teufelskreis: Aus Sicht der Anwender verstösst die IT gegen das Gebot, dass Geschäftsprozesse unterstützt werden sollten. Doch um dieses Gebot mit den heute geforderten Schutzmassnahmen zu vereinbaren, müssten handelsübliche Lösungen individuell den Geschäftsprozessen angepasst werden, wofür die vorhandenen Budgets der IT selten den dafür benötigten Spielraum bieten.

Weitreichende Folgen

Der Nutzen von Sicherheitslösungen ist selten greifbar und deren Einsatz wird von Mitarbeitern als störend empfunden. Auf den ersten Blick bringt Datensicherheit dem Unternehmen kein Geld und engt die Anwender zusätzlich ein. Sicherheitsverantwortliche stehen damit in einem Spannungsfeld zwischen Anwenderwünschen – sprich den Geschäftsprozessen – und dem Bewusstsein hinsichtlich kosten­orientierter Lösungen zum Schutze von versehentlichem oder böswilligem Datenabfluss. Denn auf den zweiten Blick wird klar, dass vorsorgen besser ist, als im Fall der Fälle das Nachsehen zu haben. Sicherheitsverantwortliche befinden sich an diesem Punkt oftmals unter Zugzwang: Der Bedarf an Lösungen, welche die bestmögliche Flexibilität bieten, steigt weiterhin und die Unternehmensführungen verlangen trotz möglicher Konsequenzen oftmals Unmögliches möglich zu machen, nämlich die Sicherheit kostengünstig zu steigern und gleichzeitig die Flexibilität der Mitarbeiter zu wahren. Man denke hier beispielsweise an die oftmals gewünschte Nutzung von Facebook, Twitter, XING etc., welche vermehrt als Kommunikationskanäle in Unternehmen eingesetzt werden sollen.

Die Folgen können aber weitreichend sein: Erhöhtes Gefahrenpotenzial, erhöhter administrativer Aufwand, unglückliche Anwender, komplexe Geschäftsprozesse, überforderte IT-Mitarbeiter, nicht mehr überschaubare IT-Systeme, keine durchgängigen IT-Architekturen und damit wieder vermehrte Sicherheitslücken.

Fehlende Verantwortung

Bei der oben beschriebenen Situation handelt es sich lediglich um die vereinfachte Darstellung eines alltäglichen Prozesses. Mittlerweile findet man in der Praxis mehrere Wege und Möglichkeiten, um zu einem sicheren Ziel zu gelangen. Vorteile von einfachen Lösungen: Der Mitarbeiter müsste zwar seine Arbeitsabläufe geringfügig umstellen, dafür wäre jedoch die Aufgabenstellung der IT-Abteilung um ein Vielfaches einfacher und die Datensicherheit könnte drastisch gesteigert werden.

Leider fehlt oftmals die Bereitschaft für solche «Eingriffe» in die Geschäftsprozesse und es ist niemand bereit, dafür die Verantwortung zu übernehmen. Das Ziel, den eigenen Stuhl zu behalten oder gar den nächsthöheren zu erreichen, scheint eine zu grosse Hemmschwelle darzustellen. Anscheinend ist es bequemer, die IT-Lösungen den Wünschen der Mitarbeiter anzupassen und dafür mit all den Nachteilen zu leben, welche mit dieser Entscheidung für ein Unternehmen einhergehen. Meist wird dabei aber vergessen, dass Firmendaten in den Händen Dritter oftmals verheerende Folgen haben.

Unternehmen haben auf jeden Fall die Wahl, welche Sicherheitslösung sie möchten. Komplexe Systeme zu implementieren, welche volle Anpassungsfähigkeit für bestehende Geschäftsprozesse versprechen, erhalten oft gros­sen Zuspruch. Die praktische Umsetzung ist dann allerdings meist nicht mehr ganz so einfach, wie sie zuvor dargestellt wurde. Denn je anpassungsfähiger die Lösung, desto komplexer und damit umso grösser die Gefahr, dass bei der Umsetzung Fehler entstehen. Man schafft sich weitere Sicherheitslücken, ohne dass man sich deren bewusst ist. Ebenso steigt meist noch der administrative Unterhalt, den man weder einkalkuliert noch die dafür notwendigen personellen Ressourcen hat. Gerade bei Klein- und Mittelbetrieben ist dies ein entscheidender Faktor. Es ist deshalb nicht verwunderlich, dass in der Praxis derartige Projekte oft nicht komplett umgesetzt oder die Lösungen nach einiger Zeit wieder ausgeschaltet werden, da sie den eigentlich verfolgten Zweck doch nicht oder nur bedingt erfüllen.

Umdenken ist notwendig

Geschäftsleitungen müssen sich den Folgen ihrer Entscheidungen bewusst werden: Nur mit einfachen Lösungen, welche unter Umständen eine gewisse Einschränkung in der Flexibilität mit sich bringen, können auf längere Sicht die Informationssicherheit und damit das Kapital der Unternehmen gesichert werden. Die Sicherheit zu erhöhen und dafür Einschränkungen zu akzeptieren, scheint ein guter Tausch zu sein. Oder gibt es wirklich triftige Gründe, weshalb Organisationen die Benutzung von Web-Mail, Instant Messaging etc. zulassen sollen, obwohl man weiss, dass damit ein Risiko zum Verlust von sensitiven Daten entsteht?

Zusammengefasst sollten sich Unternehmen jedenfalls auf die Suche nach der für sie geeigneten Sicherheitsvariante begeben. Wie schon zuvor definiert, gibt es einerseits die am Markt verankerten, handelsüblichen Lösungen, die eine vorherige Datenklassifizierung benötigen, damit das System effektiv sein kann. Dadurch können hohe Kosten entstehen. Auf der anderen Seite gibt es die Möglichkeit einer neuen Sicherheitsvariante, welche aufgrund ihrer Kostenfreundlichkeit gerade für Klein- und Mittelbetriebe interessant sein kann. Mithilfe eines innovativen Ansatzes wird ohne grossen Aufwand, vorherige Datenklassifizierung, zusätzliche Passwörter oder aufwendiges Key Management gearbeitet, womit sich die Anschaffungs- sowie die Unterhaltskosten enorm verringern. Voraussetzung hierbei ist, dass Unternehmen ihren Mitarbeitenden nicht jede erdenkliche Freiheit, wie etwa Kommunikationskanäle aus dem World Wide Web, zugänglich machen dürfen.