[zurück] [weiter] >Home >Einzelthemen
Risiko-Missverständnisse
Mit Risikomanagement sollen alle Risiken verhindert werden
Risikomanagement soll Risiken erkennen, bewerten und damit zu einer ausgewogenen Entscheidung
unter Berücksichtigung eventueller Chancen führen. Eine Vermeidung
bzw. Minimierung jeglicher Risiken würde dagegen dem Unternehmen die Möglichkeit
zur Nutzung von Chancen nehmen.
[ub-f Start]
Risikomanagement führt automatisch zu optimalen Entscheidungen
Risikomanagement optimiert den
Entscheidungsprozeß. Die Gewichtung der Risiken und Chancen kann in der Regel
aber nur durch die Entscheidungsträger des Unternehmens erfolgen. Erst hiernach
können die gewünschten Ergebnisse erzielt werden.
[ub-f Start]
Es gibt keinen 100%igen Schutz
Sicherlich gibt es den 100%igen Schutz nicht, wie auch im ganz normalen Leben nicht. Diesen gibt es somit auch beim Auto
nicht. Trotzdem helfen hier z.B. Sicherheitsgurte, Airbags, Knautschzonen, Verbundglasscheiben, ABS, optimierte Reifen und
Bremsen Schäden zu verhüten bzw. zu vermindern. Den eigenen IT-Bereich ohne Schutzmassnahmen zu betreiben, wäre
für ein Unternehmen ein Russisch Roulett. Und ggf. auch ein Verstoß gegen gesetzliche Bestimmungen (u.a.
Datenschutz,
KonTraG).
[ub-f Start]
Wir sind mit unserem Netzwerk nicht am Internet, also haben wir auch
keine IT-Security-Probleme
Sicherlich ist es speziell für Unternehmen gefährlich sich ungeschützt an das Internet anzubinden. Das Internet bietet
jedoch nicht nur Risiken sondern auch viele Chancen. Wenn diese Chancen von den Mitbewerbern genutzt werden, verschlechtert sich die
eigene Position. Außerdem ist das Internet nur eine Gefahrenquelle für die eigene
IT-Landschaft. So kommen
viele Angriffe von internen Nutzern.
[ub-f Start]
Firewall und Virenscanner vorhanden: Sicherheitsthema somit abgeschlossen
Eine Firewall und Virenscanner sind sicherlich
die Sicherheits-Grundvoraussetzungen. Dieses sind nur zwei wenn auch wichtige
Elemente. Benötigt wird jedoch ein Sicherheitskonzept, in das neben
organisatorischen Maßnahmen die technischen Lösungen integriert werden. Wenn das Gesamtkonzept
nicht vorhanden ist oder nicht stimmt, so kann auch der mögliche
Schutz dieser beiden Sicherheitselemente ausgehebelt werden. Bei technischen
Lösungen stellen sich dabei die Frage, ob diese für das Umfeld ausreichend sind.
So werden mit dem Begriff Firewall auch einfachste Lösungen deklariert.
Weiterhin müssen sie richtig in das technische Umfeld integriert, richtig
konfiguriert sowie regelmäßig aktualisiert werden.
[ub-f Start]
Die Sicherheits-Verantwortung trägt ein externer Dienstleister
Sicherlich mag es für Firmen auch sinnvoll sein, den Security-Bereich auszulagern. Die Verantwortung trägt jedoch weiterhin
die Geschäftsführung des eigenen Unternehmens. Die Auswahl eines entsprechenden
Dienstleisters will somit gut vorbereitet sein. Dabei ist es gegenüber dem
Dienstleister notwendig, dass mindestens ein Mitarbeiter im eigenen Unternehmen
in die Thematik konzeptionell eingearbeitet ist um dessen Leistung bewerten zu
können. [ub-f Start]
IT-Sicherheit; wir sind doch gut versichert
Versicherungen tragen in der Regel keine IT-Sicherheitsrisiken. Bisherige Anbieter haben sich zum Großteil aus diesem
Bereich zurückgezogen. Das Problem für die Versicherungen ist, dass es bisher
keinen Rückversicherer gibt, der dieses Risiko tragen will. Bei einem globalen
Schaden z.B. durch einen weltweiten Virusangriff über das Internet ist dieses
allerdings auch nicht verwunderlich.
[ub-f Start]
Über IT-Sicherheit sprechen wir nicht mit externen Beratern
Es will sicherlich gut überlegt sein, welche externen Berater zum Thema IT-Sicherheit hinzugezogen werden. Dieses ist
schließlich auch eine Frage des Vertrauens. Mit Externen kann jedoch eine
mögliche Betriebsblindheit der eigenen Mitarbeiter überwunden werden.
[ub-f Start]
Sicherheitslösungen gibt es doch kostenfrei im Internet
Sicherheit ist immer eine Frage des Vertrauens. Wer übernimmt die Verantwortung für dieses Produkt. Bei unbekannter freier Software
dürfte es schwierig sein, hier jemanden zu finden. Es könnte durchaus auch eine Lösung sein, die Sicherheit vorgaukelt
aber in Wirklichkeit für Angriffe durch den Ersteller genutzt wird. Nun, sicherlich
gibt es auch vertrauenswürdige Open-Source-Lösungen.
[ub-f Start]
Der Aufbau eines Verschlüsselungsverfahren sollte geheim sein
Ein Verschlüsselungsverfahren sollte nicht geheim sein. Es sollte veröffentlicht
werden und von möglichst vielen
Kryptologie-Experten
untersucht und als sicher bewertet worden sein. Die Sicherheit muss im Verfahren
selbst und nicht im Geheimnis über das Verfahren liegen.
[ub-f Start]
Bei uns würde ein Angreifer keine interessanten Informationen finden
Nicht Hightech-Entwicklungen erregen das meiste
Interesse von Mitbewerbern sondern Preisinformationen und Angebotskonditionen.
Diese Informationen in den falschen Händen können zu einem starken
wirtschaftlichen Schaden des angegriffenen Unternehmens führen.
[ub-f Start]
Wir haben eine sichere Ende-zu-Ende-Verschlüsselung
Auch innerhalb des Unternehmens macht es Sinn, Informationen zu verschlüsseln.
Übertragungen aus und zum Internet müssen jedoch generell zentral auf Viren
überprüft werden; der Virenscanner beim Endbenutzer reicht hier nicht aus.
Ansonsten würden entsprechende Stellen die gesamte interne Sicherheit gefährden.
Eine durchgehende Ende-zu-Ende-Verschlüsselung verhindert dieses
in der Regel; aber es gibt auch hierfür Lösungen.
[ub-f Start]