Empowerment gefordert: Konzern-Manager sollten definierte Prozesse beschleunigen und sich selbst zurückhalten

Dr. Wieland Alge rät IT-Sicherheits-Verantwortlichen zum Kampf auf „Augenhöhe“ mit den virtuellen Gegnern

[datensicherheit.de, 22.07.2011] Dass auf warnende Hinweise zu Datensicherheits-Problemen von den betroffenen Organisationen oft so zögerlich reagiert wird, irritiert die interessierte Öffentlichkeit und selbst manche IT-Experten. Es stellt sich die Frage, warum es gar Wochen dauern kann, bis überhaupt eine Reaktion der gewarnten Organisation erfolgt, und was eigentlich in einer Organisation abläuft, wenn so ganz allmählich ein via E-Mail gemeldetes IT-Security-Problem zu jemandem vordringt, der mit solchen Themen vertraut ist – bis einer dann endlich versteht, worum es dabei geht und Konsequenzen zieht… Dr. Wieland Alge, „General Manager“ Barracuda Networks, hat hierzu in einer aktuellen Stellungnahme ausgeführt, dass wir schon davon ausgehen sollten, dass das Top-Management großer Konzerne bereits sensibilisiert ist. Die Nachrichten von gehackten Websites überfluteten sie ja derzeit im großen Stil. Dennoch bleibe Change-Management eine der größten Herausforderungen in der IT-Security – die aktuellen Informations- und Kommunikationsprozesse seien offensichtlich nicht darauf ausgerichtet:
Das Management halte sich an die meist nach langen Überlegungen und Abwägungen eingeführten internen Prozesse, die ja wichtig seien – schließlich habe man ja so gründlich und lange daran gearbeitet – und verhindere damit eine schnelle Lösung. Die wäre nur dann möglich, wenn der IT-Security-Experte vorab allein entscheiden dürfte, ohne Rücksprache und langwierige Diskussion im Managerkreis, so Dr. Alge.

Foto: Barracuda Networks Inc., München

Dr. Wieland Alge: Große Organisationen könnten von Kleinunternehmen lernen.

Dabei könnten große Organisationen von Kleinunternehmen lernen – denn dort, wo die ökonomische Realität dafür sorge, dass meist nur ein oder zwei Verantwortliche das gesamte Netzwerk verantworteten, würden meist schnelle, weil vom Management unbeeinflusste, IT-Entscheidungen getroffen. Das möge manchmal zu unsauberen Abläufen führen und eigene Probleme aufwerfen, schneller und effektiver gegen aktuell auftretende Gefahren sei es aber sicherlich.
Bisher gelte aber meist das Motto, nur nichts zu ändern, solange es läuft… Security-Lücken seien nun genau deshalb so gefährlich, weil sie nicht angefasst würden, solange sie nicht störten. Laufe das System rund, sei alles gut; sogar dann, wenn Daten gestohlen werden, erfüllt das System ja noch immer seine Primärfunktion. Viele IT-Security-Prozesse seien in größeren Umgebungen absichtlich langsam implementiert, da Stabilität bei der Konzeption oft als oberste Prämisse definiert worden sei. Traditionell müssten mehrere Experten und Manager einer Änderung zustimmen – und genau an diesem Punkt werde es kritisch, denn die rettenden Maßnahmen müssten ja binnen Stunden bereits umgesetzt sein.
Neben den internen Kommunikations- und Entscheidungsstrukturen steht mindestens gleichrangig die technische Infrastruktur. Laut Dr. Alge seien „Change-freundliche“ Systeme gefragt – das heißt, dass Auswirkungen von kleineren Änderungen absehbar, vielleicht sogar „trocken“ überprüfbar werden. Um auf Augenhöhe mit den virtuellen Gegnern zu kämpfen, könnten Security-Verantwortliche von den Angreifern lernen – diese handelten, müssten sich nie rückversichern. Die Pflicht der Manager bestehe daher darin, definierte Prozesse zu beschleunigen und sich selbst aus diesen herauszunehmen, so Dr. Alges Empfehlung.