DsiN-Blog

Der IT-Sicher­heitsblog für den Mittelstand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abonnieren:

Was erwarten Sie denn an Sicherheit?

Die IT-Sicher­heits­­­vor­­­fälle häufen sich mehr und mehr, es gibt (fast) keinen großen IT-Lie­­fe­ranten mehr, der nicht mit erheb­lichen Sicher­heits­pro­blemen zu kämpfen hätte. Wir sind es schon gewohnt und nehmen die Vor­fälle als Anwender und Kon­su­menten so hin, ja lästern viel­leicht sogar über die man­gelnde Kom­petenz der Her­steller, auch Lösungen anzu­bieten, die — eben — “sicher” sind. 

 
Doch damit machen wir es uns ein wenig leicht aus meiner Sicht: Sicher­heits­aspekte und ‑Funk­tionen einer Lösung erfordern einen gewissen Aufwand. Wer einmal in die Soft­ware­branche hin­ein­schnuppern konnte, der kann bestä­tigen, dass nichts ent­wi­ckelt wird, von dem man sich nicht ent­weder Umsatz­stei­gerung oder Ver­meidung von Umsatz­rückgang ver­spricht. Sicherheit ist für die Her­steller kein Selbst­zweck, es muss einem über­ge­ord­neten Ziel (= dem Geschäfts­erfolg) dienen. Das müssen wir als Anwender zu einem gewissen Grad verstehen. 
 
Nun könnten wir ja sagen: Klar kein Problem, ich bin gerne bereit, meinen (finan­zi­ellen) Teil an Sicherheit bei­zu­tragen. Ich gehe z.B. statt zu einem ame­ri­ka­ni­schen Cloud-Anbieter, über dessen Angebot ich schon viele negative sicher­heits­be­zogene Berichte gehört habe, zu einem deut­schen Anbieter, der mir dies­be­züglich seriös und zuver­lässig erscheint, und bin auch bereit, dafür mehr zu zahlen. Das ist zwar gut gemeint, doch hilft das den Her­stellern, ihre Pro­dukte “sicher” zu machen? 
 
Sicherlich ist es eine erste, wichtige Errun­gen­schaft — aus unserer, der Experten-Sicht -, dass Sicherheit grund­sätzlich zum Auswahl-Prozess einer Software- und/oder Cloud-Lösung gehört. Das hat lange gedauert und ist sehr begrü­ßenswert. Doch was heißt genau “sicher”? Hat der Kunde eine kon­krete Vor­stellung, welche Erwar­tungen er an den Lie­fe­ranten hat? Geht es um Daten­schutz? Oder Know-how-Schutz? Oder eine Ver­füg­barkeit der Daten (was ver­mutlich die meisten Mit­tel­ständler bei Cloud-Lösungen inter­es­siert)? Oder gar um die Ein­haltung von Gesetzen? 
 
Her­steller können Anfor­de­rungen ihrer Kunden nur erfüllen, wenn diese die Anfor­de­rungen auch for­mu­lieren können. Wir gehen ja auch nicht in ein Autohaus und ver­langen einfach nach einem “schönen” Auto. Die Sicher­heits­be­dürf­nisse sind genau so indi­vi­duell wie ästhe­tische Erwartungen. 
 
Es ist daher für jeden Anwender von Infor­ma­ti­ons­tech­no­logie und spe­ziell den Mit­tel­stand von großem Vorteil, seine Sicher­heits­er­war­tungen zu bestimmen und zu for­mu­lieren. Große Unter­nehmen machen das schon seit einiger Zeit und nennen dies “Security Service Level Agree­ments”, welche in der Regel Bestandteil der ver­trag­lichen Leis­tungen sind. Das ist natürlich für einen Mit­tel­ständler oft nicht durch­setzbar. Aber alleine die Kenntnis über die eigenen Bedürf­nisse ist sehr ziel­führend und ermög­licht einen fachlich begrün­deten Aus­tausch mit dem Lieferanten. 
 
Fragen Sie einen IT-Sicher­heits­­­be­­rater (zum Bei­spiel über DsiN) oder auch einfach Ihren Steu­er­be­rater: Oft schätzt man als Anwender die Bedeutung der Daten falsch ein; ein Blick von Dritten schafft Klarheit und ermög­licht eine unab­hän­gigere Per­spektive. Denn: Nur wenn Sie an den rich­tigen Stellen gezielt Maß­nahmen ein­setzen — oder von Ihren Lie­fe­ranten ein­fordern — ist Sicherheit machbar und bezahlbar. 

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Prof. Dr. Sachar Paulus, Hoch­schule Mannheim

Prof. Dr. Sachar Paulus ist Senior Analyst bei Kup­pinger Cole, arbeitet gleich­zeitig als selb­stän­diger Unter­neh­mens­be­rater für Sicherheit und ist Pro­fessor für Unter­neh­mens­si­cherheit und Risi­ko­ma­nagement an der FH Bran­denburg. Er war Mit­glied der stän­digen Inter­es­sen­ver­tretung der ENISA (Euro­päische Netzwerk- und Infor­ma­ti­ons­si­cher­heits­agentur) und des For­schungs­beirats “RISEPTIS” für Ver­trauen und Sicherheit im Future Internet der Euro­päi­schen Kom­mission. Er ist Vor­stands­vor­sit­zender des Vereins “ISSECO” für sichere Software-Ent­wicklung und des Vereins “SEsamBB” für Security und Safety made in Berlin Bran­denburg. Von 2000 bis 2008 war Prof. Paulus bei SAP in ver­schie­denen Lei­tungs­funk­tionen zu Sicherheit tätig, unter anderem Leiter der Kon­zern­si­cherheit und Leiter der Pro­dukt­si­cherheit. Er vertrat SAP als Vor­stands­mit­glied in den beiden Ver­einen “Deutschland Sicher im Netz” und “Tele­TrusT”.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mittelstand.