Sicherheit bei den Projekten: Förderung eines proaktiven Security-Ansatzes

  • Projekte

    21 February 2022

La sécurité dans les projets

Mit dem stetigen Fortschreiten des digitalen Wandels in fast allen Branchen stellt sich die Frage nach der Effektivität der Sicherheit innerhalb der Projekte. Angesichts der steigenden Anzahl der Vorfälle und Cyberangriffe, die sich in Frankreich zwischen 2019 und 2020 um das Vierfache erhöht hat, sind die Unternehmen gut beraten, auf einen präventiven Sicherheitsansatz zu setzen, wenn sie nicht weiterhin die Folgen eines passiven Risikomanagements tragen wollen.

Security by design oder die Kunst, proaktiv zu handeln, anstatt den Ernstfall abzuwarten

Die ursprünglich zur Automatisierung bestimmter Aufgaben mit geringer Wertschöpfung gedachten Informationssysteme wurden weiterentwickelt und können heute immer komplexere und entscheidendere Aufgaben erfüllen. Aufgrund ihres nun größeren und umfassenderen Wirkungskreises sind sie anfälliger für Sicherheitsvorfälle und insbesondere für Cyberangriffe. Angesichts dieser Bedrohungen setzten die meisten Unternehmen bislang auf ein reaktives Verhalten im Fall von Sicherheitsvorfällen und verfolgten einen passiven Ansatz beim Risikomanagement. Was vor einigen Jahren noch ausreichend war, ist heute nicht mehr zeitgemäß, da die Folgen für die Geschäftstätigkeit viel zu katastrophal sind – vor allem, wenn sie durch einen Angriff oder einen Sicherheitsvorfall lahmgelegt wird.

Aus diesem Grund wenden immer mehr Unternehmen eine präventive Sicherheitsstrategie an, die allgemein als Security by Design bezeichnet wird. Eine Vorgehensweise, bei der die Sicherheitsanforderungen bereits bei der Entwicklung der Soft- und Hardware oder bei der Ausarbeitung der Rahmenvorgaben eines Projekts berücksichtigt werden. Ein solcher Ansatz umfasst sowohl die Implementierung von Überwachungs- und Beobachtungsinstrumenten unter Nutzung künstlicher Intelligenz als auch die Ausgestaltung einer effizienten Cybersicherheitsstrategie für alle Projekte. Dieses präventive Handeln gibt den Unternehmen die Möglichkeit, eine Anzahl von Angriffen vorausschauend abzuwehren. Gleichzeitig sind sie agiler und reaktionsfähiger, wenn es zum Ernstfall kommt, und sie können von der passiven zur aktiven Verteidigung übergehen.

Eine langfristige Investition

Die Implementierung einer wirksamen präventiven Sicherheitsstrategie ist für die Unternehmen zwangsläufig mit gewissen Kosten verbunden. Von der Entwicklung bis zur Integration und dem anschließenden Support macht es die daraus resultierende neue Organisation erforderlich, die internen Ressourcen von einem überwiegend reaktiven Vorgehen auf ein proaktives Vorgehen umzustellen. Das bedeutet hohe Investitionen für die Unternehmen. Diese sollten jedoch bedenken, dass ein präventiver Ansatz langfristig weniger Ressourcen für die Reaktion auf Sicherheitsvorfälle und die Bewältigung ihrer Folgen benötigt und somit Kosten spart.

Die Umsetzung einer umfassenden präventiven Sicherheitsstrategie ist bislang jedoch nur (sehr) großen Unternehmen vorbehalten. Letztere haben bereits entsprechend strukturierte IT-Abteilungen, die diese Aufgabe übernehmen. Die meisten Unternehmen werden daher versuchen, die Integration der Sicherheit in ihre Projekte auszulagern, insbesondere die teuersten Aufgaben wie die Aktualisierung der Erkennungswerkzeuge, das Monitoring oder auch die Überwachung.

Sicherheit bei den Projekten: eine menschliche Herausforderung

Trotz einer aktiven Überwachung im Rahmen des präventiven Ansatzes können nicht alle Angriffe vorhergesehen werden. Das Risikomanagement birgt also weiterhin ein gewisses Maß an Unbekanntem. In einem solchen Kontext ist es schwierig, auf das menschliche Urteil zu verzichten, denn diesem gelingt es, unabhängig von den – wenn auch effizienten – Einstellungen der KI-Tools, eine feinere Analyse zu liefern und sogar zu entschlüsseln, was von Erkennungstools nicht entschlüsselt werden kann.

Es ist daher keineswegs abwegig zu behaupten, dass eine Null-Risiko-Garantie eine Illusion ist. Aus diesem Grund darf es eine Sicherheitsstrategie – und mag sie noch so solide sein – nicht vernachlässigen, die Themen Risikomanagement und Cybersicherheit in die Unternehmenskultur einzubinden. Ein äußerst wichtiger Aspekt, zumal die Anzahl und die Vielfalt der Schwachstellen parallel zur Digitalisierung der Unternehmen oder sogar noch schneller zunehmen. Daher ist es wichtig, ein Risikomanagement zu implementieren, das die technischen Maßnahmen, die im Vorfeld der Projekte ergriffen werden, ergänzt. Dieser Ansatz erhebt nicht den Anspruch, unfehlbar zu sein, aber er hat den Vorteil, dass er das gesamte Unternehmen in den Umgang mit der Sicherheit einbezieht.

cybersicherheit Informationssicherheit Projekte security sicherheit
Kontakt zu unseren Experten
Unsere Fachleute stehen Ihnen zur Verfügung, um mit Ihnen über Ihre geschäftlichen Anforderungen und die Möglichkeiten der Zusammenarbeit zu sprechen, damit Sie Ihr Potenzial voll ausschöpfen können.

Thierry Harmand

Information Security Consultant