Sicherheitskonzepte

Häufigste Mängel bei Sicherheitskonzepten

Es kommt häufig vor, dass viel Geld für Sicherheit ausgegeben wird, das Ergebnis aber mehr als unbefriedigend ist. So wird zum Teil viel Geld in die Sicherheits-Technik investiert ohne die beteiligten Mitarbeiter/innen auch entsprechend zu schulen. Dies wäre bildlich vergleichbar mit einem Auto das mit teuerster und sicherster Bremstechnik ausgestattet ist ohne dass alle Autofahrer auch mitgeteilt bekommen wo die Bremse betätigt wird. Aber nicht nur der Bereich Personal wird oft vergessen. Es werden sehr häufig auch andere relevante Sicherheitsbereiche völlig ausgeblendet. Ein hohes Maß Sicherheit ist jedoch nur zu gewährleisten, wenn ein Gesamtkonzept realisiert wird, das alle relevanten Bereiche berücksichtigt.

1.) Gesamtkonzept fehlt

Häufig wird lediglich die EDV-Technik als sicherheitsrelevant eingestuft. Ein Sicherheitskonzept das nicht allen möglichen Sicherheitslücken entgegenwirkt ist dabei faktisch wirkungslos: Es nützt nichts, wenn bei einem Haus eine Türe sehr gut verschlossen wird, die anderen jedoch weit offen stehen.

2.) Aus- und Weiterbildung ALLER Mitarbeiter/innen fehlt

Ebenfalls macht es - um bei dem Beispiel des Hauses zu bleiben - keinen Sinn sicherste Türen einzubauen, wenn niemand weiß wie sie verschlossen werden. Das Schulungskonzept hinsichtlich Sicherheit darf sich dabei nicht nur auf die EDV-Mitarbeiter/innen beschränken, sondern muss die gesamte Mitarbeiterschaft erfassen. Jeder mit Zugang zu einem PC, der mittelbar (durch Netzwerk) oder unmittelbar mit dem Internet verbunden ist, muss entsprechend geschult werden.

3.) Leitungsebene ist nicht eingebunden

Sicherheitsmaßnahmen sind meist unbequem. Sie benötigen im Alltag auch immer wieder Zeit. Viele Mitarbeiter/innen werden Maßnahmen der Datensicherheit nicht freiwillig vornehmen, wenn sie in die Beliebigkeit des Einzelnen gestellt sind. Es bedarf also verbindlicher Sicherheitsrichtlinien, die eingefordert und überprüft werden. Sonst bleibt es dem Zufall überlassen, ob sie auch realisiert werden.

4.) Sicherheitslösung ist zu kompliziert und wird nicht verstanden

Die Maßnahmen für Sicherheit müssen möglichst einfach und effektiv gehalten werden, wenn sie sich im Alltag bewähren sollen. Die Richtlinien, die von der Leitungsebene vorgegeben werden müssen verständlich und praxisnah sein. Nur wenn die Mitarbeiterschaft aktiv mithilft, ist ein hohes Maß Sicherheit realisierbar.

5.) Sicherheit ist nicht als Prozess definiert

Sicherheitskonzepte müssen sich immer wieder den aktuellen Gegebenheiten anpassen. Nur wenn eine Weiterentwicklung des Konzepts von vornherein eingeplant ist, kann Sicherheit auch dauerhaft gewährleistet werden.

6.) Sicherheits-Technik ist veraltet

Die EDV muss hinsichtlich Hard- und Software den Gefahren und Möglichkeiten der Zeit immer wieder angepasst werden. Sowohl die Angriffsformen verändern sich. Entsprechend entwickeln sich auch die Schutzmöglichkeiten weiter. Nur eine regelmäßige Aktualisierung kann die gefährlichsten Sicherheitslücken schließen helfen. Aber auch hier gilt, dass die Technik nur so gut sein kann, wie diejenigen, die sie bedienen.

7.) EDV-Bereich ist nicht in Sicherheitsfragen ausgebildet

Mitarbeiter/innen im EDV-Bereich oder auch Provider kennen sich häufig nicht hinreichend mit Sicherheitsfragen aus. Sie beschwichtigen ihre unbedarften Vorgesetzten oder Kunden und bringen sie somit mehr in Gefahr als dass sie hilfreich sind.

8.) Sicherheitsbeauftragte fehlen

EDV-Mitarbeiter/innen haben häufig nur ihren EDV-Bereich im Blick, was bei anderen Themen meist völlig ausreichend ist. Bei Sicherheitsfragen muss jedoch jemand da sein, der die gesamte Organisation / das gesamte Unternehmen hinsichtlich Sicherheit im Blick behält. Sicherheitsbeauftragte für Datensicherheit können hier Abhilfe schaffen.

Um diesen hier beschriebenen und weiteren Gefahren angemessen begegnen zu können kann der Sewecom-Standard hilfreich sein.

zurück zur Startseite
zurück zu SEITE 2