Wieso sieht man einer Firma nicht von aussen an, wie gut ihre IT-Sicherheit ist? Einige Überlegungen aus Erfahrung.
IT-Sicherheit ist schwierig. Das ist so schwierig, wie eine verwinkelte mittelalterliche Stadt vor Gaunern zu schützen: Eine Schlupfloch reicht dem Angreifer; die Verteidiger müssen in tausenden Gässchen dafür sorgen, dass nichts passiert.
Es gibt keinen fixen Regelkatalog, der IT-Sicherheit löst. Denn IT-Sicherheit ist ein Prozess, eine Lebens- oder Firmeneinstellung. Mit strukturiertem Vorgehen kann man aber vieles erreichen:
- Bei der Softwareentwicklung darauf achten, dass die resultierende möglichst einfach ist und im Verlauf der Softwareentwicklung ganz viele automatisierte Tests gemacht werden.
- Genügend fähiges, erfahrenes Personal bei der Softwareentwicklung und dem Betrieb der Dienste einsetzen.
Datensicherheitszertifikate wie ISO 27001 oder Sicherheitsberichte wie SOC 2 Type 2 sind leider nur ein Indiz, keine Gewähr. Sie zeigen aber immerhin, dass sich jemand in der Firma mal intensiv über Vorkehrungen zu IT-Sicherheit Gedanken gemacht hat.
Aber Vorsicht: Manchmal beziehen sich diese Dokumente aber nur auf einen kleinen Bereich der Firmenaktivitäten. Und dem Dokument sieht man auch nicht an, ob dieses Dokument auch von allen Mitarbeitern und der Führungsriege(!) auch so gelebt wird.
Denn Zertifikate und Hochglanzbroschüren sind günstiger, als IT-Sicherheit wirklich konsequent umzusetzen.
Und bis zum ersten grossen Sicherheitsvorfall merkt auch ausserhalb der Firma niemand wirklich, dass bei IT-Sicherheit geschlampt wurde.