Proact Blog

Die 5 Phasen von IT-Security

Das Leben hat neben all den wunderschönen Dingen, die es mit sich bringt, auch immer wieder Schattenseiten. So werden wir alle immer wieder mit Rückschlägen und Trauerfällen umgehen müssen. Um die verschiedenen Phasen der Trauer besser einzusortieren, hat die Psychiaterin Elisabeth Kübler-Ross (1926-2004) ihr sogenanntes 5-Phasen Modell entwickelt. Doch wieso verwende ich in diesem Blog ein solches Thema? Ich hatte in den letzten Jahren das Glück viele Unternehmen bei ihrem Weg hin zu einer einheitlichen und sicheren IT-Strategie beraten und begleiten zu dürfen. Dabei ist mir aufgefallen, dass zumindest die Begrifflichkeiten dieser Wege oftmals auf die des 5-Phasen Modells zutreffend sind.

Das Leugnen – „ wer interessiert sich schon für uns?“

Vor einigen Jahren hörte man diesen Satz noch bei sehr vielen Gesprächen rund um das Thema IT-Security. Insbesondere IT-ferne Entscheider vertraten häufig die Meinung, dass das eigene Unternehmen für Hacker oder andere bösartige Angriffsszenarien uninteressant sind. So versteiften sich viele dieser Personen darauf, dass ohne direkten Kundenkontakt im B2B, rein örtlicher Aufstellung oder ohne eigene Entwicklungen ja kein Interesse für Cyberkriminelle besteht. Ich möchte mich gar nicht zu lange um die Phase des Leugnens kümmern, denn in den meisten Unternehmen ist dieser Punkt mittlerweile und glücklicherweise abgehakt. Durch die Angriffe der letzten Jahre auf Unternehmen jeder Größe oder Branche wurde in vielen Unternehmen zumindest für grundlegenden Schutz gesorgt. Trotzdem möchte ich noch einmal betonen: jedes Unternehmen bietet Angriffsfläche. Laut Verizon Data Breach Report waren im Jahre 2017 76 % der aufgezeichneten Angriffe finanziell motiviert. In den wenigsten Fällen möchten Angreifer, so tragisch und lustig das klingen mag, speziell Ihnen Schaden zufügen. Es geht hier rein darum möglichst viel Geld mit möglichst wenig Aufwand zu verdienen. Dass Ransomware weiterhin zu den mit Abstand weit verbreitetsten Angriffsvektoren auf kleine und mittlere Unternehmen zählt, bestätigt dies. Und sind wir mal ehrlich: mit einem Basisschutz wie einem ordentlich gepflegten Malware Scanner, einem gutem Backup & Restore sowie einer ordentlichen Mitarbeiter Awareness werden Sie sich als kleines und mittleres Unternehmen vermutlich schon gegen 90 % der Angriffe schützen können.

Der Zorn – „Wie konnte das passieren?“

Nachdem akzeptiert wurde, dass für einen grundlegenden Schutz gesorgt werden muss, fühlen sich einige Unternehmen sicher. Umso schlimmer ist es also, wenn trotz dieser, in Augen vieler Entscheider teuren, Maßnahmen trotzdem etwas passiert. So wurde ich in den letzten Jahren das ein oder andere Mal nachts aus dem Bett geklingelt und panisch gefragt, wieso trotz Firewall, Malwarescanner und E-Mail Protection trotzdem gerade alle Computer durch Ransomware verschlüsselt werden. Zu aller erst ist wichtig sich immer wieder daran erinnern, dass es schlicht und einfach keinen 100 prozentigen Schutz geben wird. Jeder Scanner dieser Welt wird mal etwas übersehen und jedes noch so solide Konzept wird erst durch den Ernstfall so richtig geprüft. Genau deswegen ist so immens wichtig, dass wir möglichst auf diesen Ernstfall vorbereitet sind. Diese Vorbereitung besteht aus vielen Dingen wie einem zeitnahen, getestete, korrekten und dokumentierten Backup/Restore Prozess. Auch die personellen Einteilungen und der Kontakt zu einem vertrauensvollen IT-Security und Infrastruktur Partner zählt hier dazu. Und natürlich ist es immer extrem wichtig zu ergründen, wieso ein bestimmtes Ereignis geschehen konnte. Doch diese Untersuchung und Fragestellung sollte erst angestellt werden, wenn das Problem selbst behoben ist.

Das Verhandeln – „Wir müssen nun richtig etwas machen“

Wenn mich an der IT-Security eine Sache so richtig nervt, dann ist es der weit verbreitete blinde Aktionismus nach einem Sicherheitsvorfall. Dies ist nicht nur ein Problem vieler Endkunden sondern ein Branchenproblem, das in diesem Blogartikel an einem aktuellen Beispiel toll dargestellt wird. Auch ich habe in den letzten Jahren viele Situationen bei Kunden miterlebt, in denen nach einem Angriff fast gänzlich blind neue Security Produkte angeschafft wurden. Wie wir in der vorherigen Phase bereits lernten: ein Vorfall muss zuerst untersucht und analysiert werden, bevor wir saubere Gegenmaßnahmen ergreifen können, denn viele Sicherheitslücken sind nicht einfach zu schließen. Und so toll viele Sicherheitsprodukte auch klingen: sie müssen konfiguriert, betrieben und gepflegt werden – doch dazu mehr in der nächsten Phase.
Ich muss ehrlich sein: dem ein oder anderen Unternehmen hat es in den letzten Jahren teilweise gut getan, dass die IT-Security an der ein oder anderen Stelle ausgetestet wurde. So konnte das Konzept sinnvoll überdacht werden und die richtigen Maßnahmen getroffen werden. Doch all diese Entscheidungen sollten keinesfalls überhastet getroffen werden.

Die Depression – „Das wird ja immer teurer, komplizierter und nimmt kein Ende!“

In einem meiner älteren Artikel (SIEM – Zum scheitern verurteilt) habe ich bereits indirekt über die Phase der Depression anhand des Beispiels von SIEM Projekten gesprochen. SIEM ist dafür nämlich ein super Beispiel: aufgrund von Sicherheitsvorfällen oder regulatorischen Vorgaben entschieden sich in den letzten Jahren viele Unternehmen dafür diese Art der Technologie einzusetzen. Vieler dieser Projekte scheiterten dann allerdings an völlig falschen Erwartungshaltungen, personellen Engpässen oder der schieren Komplexität des Betriebs. Es ist natürlich auch ein großes Problem, dass viele Unternehmen innerhalb der Branche Lösungen produzieren die mit komplett falschen Werbeversprechen angepriesen werden und Kunden am Ende in vielerlei Hinsicht enttäuscht zurückbleiben. Deswegen ist es so wichtig sich außerhalb von Werbeslogans wirklich mit einem Produkt zu beschäftigen und es im Tagesbetrieb auf Herz und Nieren zu testen. Außerdem sollten sich meiner Meinung nach viele Unternehmen von der Annahme verabschieden, dass sie weiterhin selbst den kompletten Betrieb der IT-Security stemmen können. IT-Security ist ein 24×7 Job, der zu jeder Zeit gewissenhaft ausgeführt werden muss.

Die Akzeptanz – „Gegen alles können und wollen wir uns nicht schützen!“

Ich glaube wir alle sind uns klar darüber, dass wir uns nicht gegen alles schützen können. Doch wir sollten uns auch bewusst darüber sein, dass wir uns oftmals gar nicht gegen alles schützen wollen. Ich meine damit die Akzeptanz, dass IT-Security auch immer eine Abwägung zwischen Sicherheit und Komfort ist. Natürlich könnten wir unsere User jeden Morgen an der Tür nach verbotenen Endgeräten absuchen oder 8 verschiedene Tokens für den Login verwenden lassen. Wir könnten theoretisch auch niemandem mehr erlauben ein Notebook mit nach Hause zu nehmen. Theoretisch könnten wir sogar die Netzwerkkabel am Switch abschneiden. Alles das wäre in der Theorie vermutlich sicherer – doch das wollen wir nicht und das ist auch gut so. Jedes Unternehmen muss sich selbst Gedanken machen, wie weit es in Sachen IT-Security gehen möchte. Wer Komfort bevorzugt, sollte sich der Risiken bewusst sein. Wer mehr Sicherheit bevorzugt, sollte sich der darauf folgenden Diskussionen bewusst sein. Es gibt keinen IT-Security Blueprint und das ist meiner Meinung nach auch gut so.

Jetzt zu unserem Newsletter anmelden