Piloten und Techniker
Warum müssen denn IT-Administration und IT-Sicherheit zwei unterschiedliche Bereiche sein? Kurz gesagt ganz einfach deshalb, weil sie unterschiedliche Ansätze verfolgen.
Stellen Sie sich vor, dass die IT-Administratoren die Piloten sind, die ein Flugzeug starten, landen und vor allem fliegen. Also Ihr Unternehmen am Laufen halten. Und natürlich führen sie ständig diverse Checks durch.
Demgegenüber ist es Aufgabe der IT-Sicherheit, das Funktionieren der Infrastruktur herauszufordern und dafür auch kritische Prüfungen vorzunehmen. Sie muss versuchen, Dinge auch einmal kaputt zu machen. Die IT-Sicherheitsexperten sind folglich eher die Techniker, die bei den regelmäßigen großen Checks von Flugzeugen die Nieten röntgen und alle Teile auf ihre Belastbarkeit überprüfen. Wie Sie wissen, machen das natürlich nicht die Piloten, die dafür nicht ausgebildet sind. Sondern dies wird ganz bewusst durch ein anderes und unabhängiges Team von Spezialisten durchgeführt.
Beides lässt sich somit nicht wirklich in einer Abteilung verwirklichen. Obwohl sie voneinander profitieren, beziehungsweise voneinander abhängig sind. Denn derjenige, der eine Lösung implementiert und wartet, sollte nicht gleichzeit derjenige sein, der "objektiv" deren Sicherheit bestätigt.
IT-Sicherheit: Die Realität sieht anders aus
Wir erleben aber gerade in mittelständischen Unternehmen regelmäßig genau dieses Szenario: Die internen IT-Administratoren oder externen IT-Dienstleister kümmern sich um die IT-Sicherheit "gleich mit". Wenn sie durch das Tagessgeschäft, kranke Kollegen oder Projekte voll ausgelastet sind, führt das so gut wie immer dazu, dass nicht mehr so genau hingeschaut wird. Es wird aus Zeitmangel zum Beispiel das Patchmanagement vernachlässigt. Es wird kein Netzwerktraffic analysiert. Und die Firewallupdates werden nicht zeitnah oder gar nicht eingespielt.
Auch wird gerne der Server erst einmal nicht mehr angefasst, der nach dem letzten Updateversuch immense Problem verursacht hat. Und das teils über Monate oder Jahre - der Dienst oder die Applikation darauf läuft ja.
Der Spruch "Never change a running system" hat leider zudem dazu geführt, dass Administratoren sich erstaunlich konservativ verhalten. Und das ausgerechnet in einem Bereich, der sich andauernd neu erfindet!
Wie Sie sehen, fehlt hier schlicht ein Dritter, der der IT-Administration regelmäßig einen Spiegel vorhält, ab und zu einmal den "Finger in die Wunde" legt. Und der auch zarten Druck ausüben kann.
IT-Administration: Der Bock und der Gärtner
Beim Datenschutz hat der Gesetzgeber verstanden, dass man den Bock zum Gärtner machen würde, wenn ein IT-Administrator gleichzeitig Datenschutzbeauftragter im Unternehmen wäre. Und wie Sie wissen, hat er ein solches Konstrukt schlicht verboten.
Genau das sollte bei Ihnen im Unternehmen auch für den Bereich der IT-Sicherheit gelten. Diese muss - wie der Datenschutz - von Ihnen unbedingt getrennt von der IT-Administration bertrachten werden. Es kann sich hierbei entweder um ein externes IT-Sicherheitsteam oder um eine Stabsstelle handeln, die nur der Geschäftsführung verpflichtet ist.
Wie bei fast allen grundsätzlich unangenehmen Themen bedeutet das: Wegducken oder Ignorieren hilft nicht weiter. Ganz im Gegenteil: Wenn Sie das Thema IT-Sicherheit aktiv in Ihrem Unternehmen angehen, wird Sie das schon kurzfristig auf ein höheres Sicherheitsniveau bringen.