Free

Alles wie immer, …

Lesezeit 2 Min.

… nur schlimmer – also wie immer. So oder so ähnlich könnte man mit etwas bösem Willen viele Prognosen zur Informations-Sicherheit für das kommende Jahr zusammenfassen. Klingt irgendwie nach einem fiesen Teufelskreis, oder? IT und Security haben zu wenig Ressourcen, zu wenig Übersicht und zu viel zu tun. Ein Ende des Fachkräftemangels scheint nicht in Sicht, Datenmengen und Komplexität nehmen weiter zu – Menschheit und Politik sorgen mit organisiertem Cybercrime, internationalen Konflikten sowie neuen Regularien für mehr als genug Herausforderungen und an der Technologiefront verschärfen altbekannte Fehler, kaum überschaubare Lieferketten sowie Innovationen und fortschreitende Digitalisierung die Lage (vgl. S. 10 und S. 16).

Wen wunderts, wenn es da bei etlichen – gerade kleineren oder zuvor weniger digitalaffinen – Unternehmen sogar noch an den „Security-Basics“ mangelt, deren Umsetzung seit Jahren gebetsmühlenartig angemahnt wird? Doch auch reifere Organisationen haben offenbar Probleme: 98 % der für eine Studie von Rubrik Befragten aus Deutschland glauben, dass sie derzeit erhebliche Schwierigkeiten mit der Datentransparenz haben. In einer für Arcserve durchgeführten Studie haben 82 % der befragten Unternehmen Datenschutzverstöße im vorausgegangenen Jahr zugegeben – 42 % machen dafür eine schlechte Datenklassifizierung verantwortlich.

Für viele Security-Disziplinen verheißt „künstliche Intelligenz“ (KI) Abhilfe durch mehr Automation. Nicht wenige Ratgeber postulieren gar die Unabwendbarkeit eines raschen KI-Einsatzes für mehr Sicherheit – schließlich würden „die Bösen“ auch zu diesem Mittel greifen. Allerdings zeigt sich an dieser Stelle wieder einmal eine unvorteilhafte Asymmetrie: Während ein (KI-)Fehler im Angriff dafür sorgt, dass man nichts gewinnt, sorgt ein (KI-)Fehler bei der Abwehr dafür, dass man etwas verliert. Und selbst ein Verlust an Transparenz – dieses Mal bei den Prozessen – ist für Verteidiger kaum hinnehmbar, während das einem Angreifer ziemlich wurscht sein kann.

Dabei ist „die Security“ ohnehin noch immer an vielen Stellen in Erklärungsnot und/oder als „Schwarzseher“ oder „Verhinderer“ verschrien – die Nicht-Intuitivität beim Umgang mit Risiken sowie deren Eintrittswahrscheinlichkeiten und Konsequenzen belastet die Kommunikation mit Top-Entscheidern (siehe auch S. 60). Für die Leitungsebene ist offenbar häufig nicht nachvollziehbar, ob ihr Gegenüber von ernsthaften (potenziellen) Problemen spricht oder nur übervorsichtig (aka „berufsparanoid“) ist. Nach Erkenntnissen von Trend Micro halten IT-Security-Verantwortliche daher sogar oft Teile ihres Wissens zurück: aus Angst, „zu negativ“ zu klingen oder nicht mehr ernst genommen zu werden, weil sie sich ständig wiederholen. In einer Umfrage von 2021 hätten sich 80 % der deutschen Security-Verantwortlichen (weltweit 82 %) zu solchem Verhalten bekannt.

Und wie gehts jetzt weiter? Mehr Mittel, mehr Kommunikation, mehr Transparenz, für mehr Verständnis/Awareness sorgen, bloß nicht „müde werden“, … alles wie immer. Schöne Bescherung, frohes Fest, alles Gute für das neue Jahr!

Diesen Beitrag teilen: