8
BSI-Chef: IT-Sicherheit muss für Firmen wichtiger werden
Interessantes Thema, welches bei zu vielen Unternehmen stiefmütterlich behandelt wird:
BSI-Chef: IT-Sicherheit muss für Firmen wichtiger werden
BSI-Chef: IT-Sicherheit muss für Firmen wichtiger werden
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 351285
Url: https://administrator.de/contentid/351285
Ausgedruckt am: 22.11.2024 um 04:11 Uhr
8 Kommentare
Neuester Kommentar
Das Bewusstsein für IT-Sicherheit erhöht sich meiner Erfahrung nach immer dann schlagartig, wenn Ransomware den Betrieb lahmlegt und (obwohl das ganze Computerzeug ja eigentlich keiner braucht und dementsprechend auch nix kosten darf) die Firma nicht mehr arbeiten kann...
Positive Ausnahmen natürlich ausgenommen, aber bei der Mehrheit der Betriebe läuft das leider genau so
lG MOS
Positive Ausnahmen natürlich ausgenommen, aber bei der Mehrheit der Betriebe läuft das leider genau so
lG MOS
Hallo.
Schwierig.
Wir machen gerade ISIS12, und dabei fällt mir bei jeder Berührung auf, daß das, was da zum großen Thema Informationssicherheit & IT-Sicherheit so niedergeschrieben und verlangt ist, nur jemand geschrieben haben kann, der bzgl. IT noch niemals an der "Front" gearbeitet hat.
Wollte ich das alles, was dabei verlangt wird, tatsächlich komplett 1:1, genau nach Vorschrift umsetzen, müßte selbst unser kleiner Laden hier noch 2 Leute einstellen, die sich bloß darum kümmern.
Es gibt hierzu den durchaus grundsätzlich richtigen Satz: "Sicherheit geht vor Verfügbarkeit".
Und es gibt meine salopp ausgedrückte Erfahrung dazu: "Wenn Sicherheit so hoch an- und umgesetzt wird, daß ein normales, flüssiges Arbeiten nicht mehr möglich ist, ist dann auch die ganze IT für die Tonne".
Ich weiß sehr wohl, daß es für komplexe Problemstellungen so gut wie nie einfache Lösungen gibt, und das trifft insbesondere auf die IT-Sicherheit zu. Aber, wie gesagt, wollte ich, sh. 1. Absatz, ISIS12 Wort für Wort in die Tat umsetzen, könnte ich die Bude gleich zusperren bzw. zumindest die IT abschalten.
Deshalb:
Es muß noch einen Mittelweg geben, der Sicherheit und Arbeitsfähigkeit beinhaltet, finde ich. Welcher das ist oder sein könnte, da sind wir gerade am Ausklamüsern.
Viele Grüße
von
departure69
Schwierig.
Wir machen gerade ISIS12, und dabei fällt mir bei jeder Berührung auf, daß das, was da zum großen Thema Informationssicherheit & IT-Sicherheit so niedergeschrieben und verlangt ist, nur jemand geschrieben haben kann, der bzgl. IT noch niemals an der "Front" gearbeitet hat.
Wollte ich das alles, was dabei verlangt wird, tatsächlich komplett 1:1, genau nach Vorschrift umsetzen, müßte selbst unser kleiner Laden hier noch 2 Leute einstellen, die sich bloß darum kümmern.
Es gibt hierzu den durchaus grundsätzlich richtigen Satz: "Sicherheit geht vor Verfügbarkeit".
Und es gibt meine salopp ausgedrückte Erfahrung dazu: "Wenn Sicherheit so hoch an- und umgesetzt wird, daß ein normales, flüssiges Arbeiten nicht mehr möglich ist, ist dann auch die ganze IT für die Tonne".
Ich weiß sehr wohl, daß es für komplexe Problemstellungen so gut wie nie einfache Lösungen gibt, und das trifft insbesondere auf die IT-Sicherheit zu. Aber, wie gesagt, wollte ich, sh. 1. Absatz, ISIS12 Wort für Wort in die Tat umsetzen, könnte ich die Bude gleich zusperren bzw. zumindest die IT abschalten.
Deshalb:
Es muß noch einen Mittelweg geben, der Sicherheit und Arbeitsfähigkeit beinhaltet, finde ich. Welcher das ist oder sein könnte, da sind wir gerade am Ausklamüsern.
Viele Grüße
von
departure69
Das gilt gleichermaßen aber auch für ITIL. Wer ITIL 100%ig umsetzt, verwaltet sich zu Tode.
ITIL macht Sinn bzw. hat Vorteile, aber man kann nicht alles in Prozesse umsetzten, daß muss einem klar sein.
Gruss Penny
ITIL macht Sinn bzw. hat Vorteile, aber man kann nicht alles in Prozesse umsetzten, daß muss einem klar sein.
Gruss Penny
Ich kenne Firmen, wo bei 30 PC ein "halber" Admin das an laufen halten muss, zu seiner Hauptarbeit. Ich kenne Firmen, wo 2 Admins die Arbeit für 3 machen mussten, bis einer entlassen wurde und der arbeitet nun für drei...und ist froh, wenn alles läuft ...für Sicherheit hat der keine Zeit.
Das ist das generelle Problem. Hauptsache es läuft und kostet nixx. Der Stellenwert der IT ist in den den meisten Unternehmen unterirdisch.
Und wenn es mal knallt, wird der IT Administrator oder die Person, welche es nebenher macht entlassen. Und der nächste verheizt.
Und wenn es mal knallt, wird der IT Administrator oder die Person, welche es nebenher macht entlassen. Und der nächste verheizt.
Wenn die IT-Sicherheit so wichtig ist (und das ist sie ganz sicher) dann muss der Gesetzgeber die Unternehmen zwingen, diese im Unternehmen zu beachten. Gerade bei den Klein- und Kleinstbetrieben ist für diesen "Quatsch" kein Geld da. Da hilft kein Reden, Meinung unseres Chefs: Das geht bei anderen auch, warum soll es dann bei uns anders sein....
Und zum BSI ist zu sagen: ausser ellenlangen PDF's, für deren Durcharbeiten kein Mensch in dieser verrückten IT-Welt Zeit hat kommt von dort wenig Hilfe. Warum wurden den die gstools eingestellt? Warum werden keine Sicherheitschecks angeboten und zwar in Form von Software und nicht in Form unlesbarer Dokumente? Warum wird dieser wichtige Bereich privaten Softwareherstellern überlassen, von denen keiner weiß, was im Code "versteckt" wird?
Ja, IT-Sicherheit ist wichtig. Aber es bedarf mehr, als Worte und Dokumente.
Und zum BSI ist zu sagen: ausser ellenlangen PDF's, für deren Durcharbeiten kein Mensch in dieser verrückten IT-Welt Zeit hat kommt von dort wenig Hilfe. Warum wurden den die gstools eingestellt? Warum werden keine Sicherheitschecks angeboten und zwar in Form von Software und nicht in Form unlesbarer Dokumente? Warum wird dieser wichtige Bereich privaten Softwareherstellern überlassen, von denen keiner weiß, was im Code "versteckt" wird?
Ja, IT-Sicherheit ist wichtig. Aber es bedarf mehr, als Worte und Dokumente.
IT Security ist für mich ein Fass ohne Boden
Im Prinzip ist alles was physikalisch mit dem Internet verbunden ist nicht sicher. Die Firmen werden verrückt gemacht mit Investment für IT Security, sind dann aber am Ende doch nicht sicher.
Niemand weiß welcher Hersteller in seinen Firmwares oder generell in Anwendungen, welche Hintertürchen einbaut. Selbst der Hersteller selber kann nicht ausschließen das die Entwickler es nicht selber getan haben ohne ihr Wissen.
nettes Video zu dem Thema...... Der Typ der dort von Harald Lesch interviewed wird arbeitet glaube ich in der ersten Front im Cyperwar. Und seine Aussage ist ziemlich klar.
https://www.youtube.com/watch?v=eKsAcZg7DdA
Ich als IT Leiter kenne auch die Seite des Praxis Alltags. Und es steht ganz klar im Fokus: IT darf nichts kosten, warum investestieren - wenn man doch nicht 100% sicher ist, die Anwender (je oller desto doller) müssen genauso sensibilisiert werden. Soll heißen in der Praxis macht ein Vorstand oder Inhaber eh was er will und in Zeiten von Rubber Ducky bringt nicht einmal usb port sperre etwas.
Man kann alles sicherer machen gegen Angriffe von Innen. Aber in dem Thema Cyber War geht es schlicht Weg um Industrie-Spionage bzw. gezielte Schädigung. Und genau da sind die normalen Admins machtlos, denn die Organe die dies ausführen wissen Dinge von denen wir nur Träumen.......
Von daher interne Security ist für mich normal - bis zu einem gewissen Maß.
Externe Security wird ernst genommen, aber nicht perfide in ultra teure Systeme investiert. Ich denke da hat jedes Unternehmen seine eigene Messlatte bezogen auf sein Potential.
Im Prinzip ist alles was physikalisch mit dem Internet verbunden ist nicht sicher. Die Firmen werden verrückt gemacht mit Investment für IT Security, sind dann aber am Ende doch nicht sicher.
Niemand weiß welcher Hersteller in seinen Firmwares oder generell in Anwendungen, welche Hintertürchen einbaut. Selbst der Hersteller selber kann nicht ausschließen das die Entwickler es nicht selber getan haben ohne ihr Wissen.
nettes Video zu dem Thema...... Der Typ der dort von Harald Lesch interviewed wird arbeitet glaube ich in der ersten Front im Cyperwar. Und seine Aussage ist ziemlich klar.
https://www.youtube.com/watch?v=eKsAcZg7DdA
Ich als IT Leiter kenne auch die Seite des Praxis Alltags. Und es steht ganz klar im Fokus: IT darf nichts kosten, warum investestieren - wenn man doch nicht 100% sicher ist, die Anwender (je oller desto doller) müssen genauso sensibilisiert werden. Soll heißen in der Praxis macht ein Vorstand oder Inhaber eh was er will und in Zeiten von Rubber Ducky bringt nicht einmal usb port sperre etwas.
Man kann alles sicherer machen gegen Angriffe von Innen. Aber in dem Thema Cyber War geht es schlicht Weg um Industrie-Spionage bzw. gezielte Schädigung. Und genau da sind die normalen Admins machtlos, denn die Organe die dies ausführen wissen Dinge von denen wir nur Träumen.......
Von daher interne Security ist für mich normal - bis zu einem gewissen Maß.
Externe Security wird ernst genommen, aber nicht perfide in ultra teure Systeme investiert. Ich denke da hat jedes Unternehmen seine eigene Messlatte bezogen auf sein Potential.
1
Das ist, denke ich mal, genau so wie Du schreibst. Aber es interessiert niemanden. Wenn es zum Gau kommt und die ganze Sache vor dem Kadi landet, dann geht es nur darum, ob das Unternehmen alles technisch- und datenschutzmäßigmögliche getan hat um den Datenverlust zu verhindern. Wie genau die DS-GVO rechtlich gewertet wird, kann jetzt eh noch niemand beantworten. Das werden die ersten Prozesse zeigen. Und da kommt es auf die Laune des Richters und seinen Sachverstand an.
Es müssen die Entscheider der Unternehmen endlich begreifen, dass IT und IT-Sicherheit richtig Kohle kosten. Und solange das nicht ins Hirn des Chefs vordringt (bei meinem auch noch nicht) solange wird sich nichts Entscheidentes ändern.
Es müssen die Entscheider der Unternehmen endlich begreifen, dass IT und IT-Sicherheit richtig Kohle kosten. Und solange das nicht ins Hirn des Chefs vordringt (bei meinem auch noch nicht) solange wird sich nichts Entscheidentes ändern.
