Foto: Vero Certus

Ganzheitliche Sicherheitslösungen

Besser in Expertenhand

Konkrete Zahlen für 2011 liegen noch nicht vor, es zeigt sich jedoch die Fortsetzung des Trends zu ausgefeilteren Angriffen und Attacken auf den deutschen Mittelstand. Die Träger des Wirtschaftswachstums sind längst in den Fokus ausländischer Geheimdienste, krimineller Organisationen und hervorragend ausgebildeter Einzeltäter geraten.

Sie alle haben es auf die wertvollen Innovationen und betrieblichen Informationen abgesehen, die auf Laptops und Servern deutscher Unternehmen schlummern. Panikmache ist jedoch fehl am Platz – gewünscht wird ein angemessener Ansatz die tatsächlichen Bedrohungen einschätzen und gezielte Gegenmaßnahmen ergreifen zu können, die sich nahtlos in die bestehende Infrastruktur der Firmen einbinden lassen.

Hierfür benötigen die Unternehmen jedoch individuelle Sicherheitskonzepte und Orientierung im Dschungel der vielfältigen Lösungen – also einen Plan, ein Ziel und die richtigen Wegweiser auf dem eingeschlagenen Pfad. IT-Leiter und Sicherheitsbeauftragte sind auf der Suche nach Antworten auf die Fragen, welches Konzept oder welche Software zu den Bedürfnissen der eigenen Unternehmensstruktur passt, welche Zutrittstechnologien und welche Sicherheitsvorkehrungen notwendig oder sogar gesetzlich vorgeschrieben sind und welche Anbieter auf dem Markt Lösungen für die tatsächlichen Sicherheitsprobleme offerieren.

Strategie ersetzt Punktlösung

Expertenhäuser, wie beispielsweise die Vero Certus GmbH, empfehlen, sich mit kompetenter Unterstützung dem Themenfeld zu nähern. Statt aufeinander folgend Punktlösungen zu kaufen, raten die Experten des hessischen Lösungsanbieters einen strategischen Plan für die Sicherstellung eines angemessenen Sicherheitsniveaus zu erstellen.

Insbesondere wenn schon einzelne Lösungen etabliert sind, kann der unkoordinierte Erwerb eines weiteren Werkzeugs zwar zur Lösung der lokalen Probleme, aus ganzheitlicher Unternehmensperspektive jedoch zu massiven Schnittstellenproblemen und somit hohen Integrationskosten führen. Nur wer von vornherein strategisch plant und fachbereichsübergreifende Anforderungen definiert, vermeidet, dass diese Kosten den Wert der jeweiligen Lizenz übersteigen und am Ende teure „Shelfware“ im Regal verstaubt.

Neben der Integrationsfähigkeit von Punktlösungen sollte bei der Kaufentscheidung auch die Qualität eines Produktes und seiner Funktionen betrachtet werden, sowie dessen Anpassbarkeit an individuelle Anforderungen oder lokale gesetzliche Vorgaben. Diese Aufgaben können gerade mittelständische Anwenderunternehmen oft nicht aus eigener Kraft leisten, da die begrenzten Personal-Ressourcen in der IT dringend für die Aufrechterhaltung des Tagesgeschäfts benötigt werden. Ohne erfahrene und sachkundige Planungs- und Integrationspartner stehen die IT-Leiter in der Praxis oft vor unlösbaren Aufgaben.

Requirements Engineering

Natürlich wissen die IT Manager und Sicherheitsbeauftragten der Unternehmen um ihre Probleme und Bedürfnisse, jedoch fehlen ihnen häufig der Marktüberblick und die Detailkenntnis, um ihre eigenen Wünsche in konkrete Produktanforderungen zu gießen. Ein auf die Unternehmensbedürfnisse abgestimmtes Requirements Engineering ist dabei die wichtigste Aufgabe: Denn nur wenn ein Systemintegrator die Anforderungen richtig versteht und dessen IT Umgebung vollständig erfasst hat, kann eine Vorauswahl an geeigneten Lösungen erfolgreich sein.

Ziehen Unternehmen in Erwägung, sich dieser externen Expertise zu bedienen, sollten sie genau hinschauen, wem sie dieses sensible Thema anvertrauen. Das Verständnis für die Feinheiten einer bestehenden Infrastruktur und den konkreten Sicherheitsbedarf eines Kunden setzt naturgemäß eine gewisse Empathie auf Seiten des Integrators voraus. Gepaart mit Erfahrung aus komplexen Integrationsprojekten in der entsprechenden Branche leiten entsprechende Fachexperten daraus ein ganzheitliches Sicherheitskonzept für ihre Kunden ab, dass durch hohe Qualität, Nachhaltigkeit und enge Ausrichtung an der Unternehmenskultur besticht.

Qualitätsorientiert statt preisfixiert

Der Preis scheint bei der Auswahl geeigneter Umsetzungspartner längst nicht mehr im Mittelpunkt der Entscheidungsfindung zu stehen. Vielmehr bewegt sich der Trend hin zu einem integrativen und qualitätsorientierten Ansatz bei der Auswahl von Produkten und Dienstleistungen, insbesondere bei Sicherheitslösungen – aus gutem Grund: Immer mehr Unternehmen erkennen den Mehrwert eines ganzheitlichen Ansatzes , weil die erwarteten Mehrwerte bei der Nutzung von autark beschafften Punktlösungen oft ausgeblieben sind.

Gerade die stark nachgefragten Lösungen rund um Governance, Riskmanagement und Compliance (GRC), starke Authentisierung und Konvergenz zwischen physischer und logischer Sicherheit fördern und fordern den integrativen Aspekt. Insbesondere Produkte aus den Bereichen GRC und Identity and Access Management (IAM) erfordern jedoch eine tiefgehende Integration und die Verknüpfung von Informationen aus Business Applikationen mit Elementen klassischer IT-Security Systeme wie Firewalls, IDS/IPS und Threat Management.

Ohne ein tiefgreifendes Verständnis für das Geschäftsmodell der Unternehmen und ihren „Risikoappetit“ sind nachhaltige Konzepte für GRC und Authentisierungslösungen schwer umsetzbar. In der Regel merken Unternehmen sehr schnell, ob sich ein Sicherheits-Architekt nur mit den Produkten oder auch mit der Branche seines Kunden auskennt.

Partner mit Branchenerfahrung

Neben solider fachlich-technischer Qualifikation stehen deshalb kommunikative Fähigkeiten und Branchenerfahrung ganz oben auf der Prioritätenliste des Mittelstands, wenn es um die Selektion eines geeigneten Partners für die Auswahl und Integration von Lösungen rund um ganzheitliches Sicherheitsmanagement geht. „Wir bevorzugen Partner, die bereits erfolgreich Projekte in Anwalts-Sozietäten und bei Wirtschaftsprüfern oder Steuerberatern durchgeführt haben, auch wenn anderen Angebote kaufmännisch attraktiver erscheinen“, bestätigt Christian Schnitzler, Steuerberater. „Bevor ich einem unbekannten Dienstleister mein Geschäft – und das meiner Mandanten – erklärt habe, arbeite ich mit erfahrenen Architekten lieber gleich an der Lösung meiner Probleme.“

Nahtlos integrierbare und nachhaltige Sicherheitslösungen erfordern zunächst eine grundlegende Sicherheitsstrategie für das eigene Unternehmen. Sind die eigenen Risiken bekannt und bewertet, erleichtert dies zwar die Vorauswahl passender Lösungen und Technologien. Die konkrete Produktentscheidung und spätere Integration sollte jedoch nicht ohne einen qualifizierten Integrationspartner mit Branchenerfahrung erfolgen. Spürbare Mehrwerte einer strategischen Sicherheitsplanung lassen sich nur dann realisieren, wenn erfahrene Berater die Planung und Umsetzung mit tiefem Verständnis für die Geschäftsprozesse und Risiken ihres Kunden durchführen. Unternehmen sollten bei der Auswahl ihrer Partner neben der fachlichen Qualifikation daher unbedingt die Branchenkenntnis der Kandidaten prüfen.

Stefan Schaffner, CEO, Vero Certus GmbH

Foto: Thomas Vogt/ Fotolia.com

Mittelstands-IT

Mit Minimalbudget mehr Sicherheit

Die Entscheidungsträger im Mittelstand zeigen sich oft zurückhaltend gegenüber Investitionen in Sicherheitsmaßnahmen. Sie übersehen dabei nicht nur drohende Haftungsrisiken. Erst wenn ein Schaden eintritt, stellen die Verantwortlichen das erforderliche Budget bereit, um Sicherheitslücken zu schließen.

Foto: Karl-Heinz Laube/ Pixelio.de

Risikomanagement

Informationen intelligent aufbereiten

Mittlere und große Unternehmen stehen vor der Herausforderung, ein effizientes und transparentes Risikomanagement zu etablieren. Keine leichte Aufgabe – auch wenn die benötigten Informationen durch umfangreiche Audits und aktuelle Daten aus der IT in der Regel zur Verfügung stehen.

Pieper-Geschäftsführer Thomas Lampe.
Foto: Pieper

Interviews

Kunden wollen keine Lösungen aus der Schublade

Für unsere Rubrik „Errichter kommen zu Wort“ sprachen wir mit Pieper-Geschäftsführer Thomas Lampe über aktuelle Herausforderungen und Kundenwünsche.

Foto: Fotolia/ArTo

Datenklau

Willkommen in der Realität

Fast täglich ist über spektakuläre Datendiebstähle oder Hackingversuche zu lesen, und es betrifft „prominente“ Opfer wie Behörden, Banken oder Versicherungen ebenso wie die „normale“ Wirtschaftswelt. W&S befragte zum Thema Datenabfluss und Abwehrstrategien den IT-Sicherheitsberater Wolfram Funk, Principal Consultant bei der Steria Mummert Consulting AG.