Zu den Sicherheitskonzepten können Informationen über lokale IT-Sicherheits- oder Informationssicherheitsziele, zugrundeliegende Sicherheitsnormen (z.B. IT-Grundschutz, ISO/IEC 27001 (ehemals DIN EN 7799)), Definition von Sicherheitsbereichen, Organisationsstruktur des Security Managements (z.B. Sicherheitspyramide), Meldepflichten und Kontrollstellen sowie Qualitätskontrolle gehören.
360°-Security für die Unternehmens-IT ist allein mit Hilfe technischer Massnahmen nicht zu realisieren. Eine ganzheitliche Strategie orientiert sich an den Bedürfnissen des Unternehmens und trägt auch dem menschlichen Aspekt Rechnung. Jedes Unternehemen speichert bedeutende, in manchen Fällen auch sehr sensible Informationen. Ein Datenverlust kann lebensgefährlich sein.
Aber auch wenn solche Informationen "nur" gefährdet, d.h. geklaut und möglicherweise publiziert werden, hat dies meist unerfreuliche Folge. Das Entscheidende ist, dass dahinter eine ganzheitliche Sicherheitsstrategie steht. Denn nur so kann das Untenehmen nachhaltig abgesichert werden. Noch vor wenigen Jahren waren eine gute Brandmauer und ein moderner Viren-Scanner ausreichend und die IT des Unternehmens weitestgehend gegen "externe" Attacken abgesichert.
Seit dem Aufkommen von USB-Sticks und Mobilgeräten wie z. B. Smart-Phones und Notebooks (Stichwort "BYOD") haben sich die Möglichkeiten der Unternehmens-IT jedoch weit nach aussen verlagert. Der Einsatz von Cloud Services weitet die Grenze und gleichzeitig die Verantwortlichkeit für die Datensicherheit von Unternehmen weiter aus. Überall dort, wo gerade gearbeitet wird, können unternehmenseigene Schlüsseldaten und relevante Unternehmensinformationen abgerufen werden.
Eine hundertprozentige Sicherung durch technische Sicherung und Monitoring wird es wohl nie wieder schaffen - das müssen bewährte IT-Sicherheitsexperten berücksichtigen. An dieser Stelle kommt die ganzheitliche Sicherheitsstrategie ins Spiel, die exakt auf die Anforderungen und Eigenheiten des Hauses abgestimmt ist. Auch wenn die Mittel - also die Investition in Sicherheitstechnologien - so ausgereift und modern sind wie sie sind, können sie nicht die bestmögliche Wirkung entfalten, wenn nicht alle Mitarbeitenden gleichzeitig ausgebildet und regelmässig ausgebildet werden.
Ist der eine für Viren-Scanner und Firewalls und der andere für Cloud Computing verantwortlich, sind Störungen unvermeidlich. Es gibt keine allgemein gültige Formel für den Erfolg der Firmenstrategie, die Ansprüche sind zu unterschiedlich, aber es gibt bereits bestimmte Festpunkte. Das teuerste Sicherheitssystem ist unbrauchbar, wenn die Mitarbeitenden nicht dafür verantwortlich sind.
Bei Datendieben ist es oft der leichteste Weg, durch Ausloten von Menschen an sensible Daten zu gelangen - dieses Verfahren wird als Social Engineering bezeichnet. Auch das korrekte Benehmen bei einem Sicherheitsvorfall sollte mindestens einmal im Jahr mit allen Mitarbeitenden trainiert werden. Aber im Zeitalter von USB-Sticks, Mobilgeräten und Cloud-Lösungen sind wir weit davon weg.
Folgende Punkte sollten in die Sicherheitsstrategie einbezogen werden. Als Teil der Sicherheitsstrategie sollte entschieden werden, ob z.B. solche Stöcke vollständig gesperrt werden sollen oder ob nur gesichert oder verschlüsselt Firmenspeicher erlaubt sein sollen. In jedem Fall sollte die Loesung fuer das jeweilige Betrieb geeignet und realisierbar sein. Die Gefahr von WLAN ist jetzt noch grösser.
Die drahtlose Internetverbindung ist nicht nur sehr komfortabel, sondern auch einer der verwundbarsten Punkte für Firmen. Innerhalb des Unternehmens sollte der Zugang zu besonders sensiblen Informationen über WLAN nicht möglich sein. "BYOD " (Bring Your Own Device) ist der Alptraum eines jeden Sicherheitsfachmanns, aber auch ein unverzichtbarer Bestandteil des Geschäftsalltags.
Gleichzeitig kann das Endgerät einen weiten Weg zurücklegen und ist oft in ungesicherten Netzen (z.B. öffentlichem WLAN) in Bewegung.
Hierbei ist darauf zu achten, dass immer alle Sicherheitsaktualisierungen durchgeführt werden, auch wenn die täglichen Änderungen auf den ersten Blick störend wirken. Wenn Lücken für Attacken bekannt werden, treten in der Regel innerhalb weniger Tage neue Versionen auf, die die Gefährdung von Geräten und Netzwerken beseitigen. Dabei ist besonders darauf zu achten, dass das Kreditinstitut für die Anmeldung und Unterzeichnung von Aufträgen das neueste Zugriffsverfahren der Hausbank verwendet.
Sie können hier z.B. Passwortmanager oder Token verwenden, damit dieses Kernelement jeder Sicherheitsstrategie auch wirklich gelebt wird.