„Wir müssen dieses Thema viel näher an die Menschen heranbringen, indem wir Sicherheitstechnik und Sicherheitsstrategien einfacher, integrierter und im Ergebnis auch wirtschaftlicher gestalten“, plädiert er für ein deutliches Umdenken seitens der Anwender. Diese Einschätzungen resultieren aus einer Vielzahl von Projekterfahrungen, aus denen er sechs Leitlinien für intelligente Security-Strategien abgeleitet hat:
1. Integriert denken: In der Praxis der Unternehmen und Behörden finden Security-Planungen vielfach mit einer Fokussierung auf punktuelle Problemlösungen statt. Als Konsequenz kommt es häufig zur Implementierung von Insellösungen, die sich einerseits nur schwer oder nur mit hohem Projektaufwand zusammenführen lassen. Andererseits können sich in dem Zusammenspiel der verschiedenen Insellösungen schwer erkennbare Sicherheitslücken verbergen. Deshalb gehört zu intelligenten Strategien in der IT-Sicherheit, die Security-Konzepte übergreifend und integriert anzulegen statt in der Dimension abgegrenzter Einzelanforderungen zu agieren. Dies aktiviert erhebliche Leistungspotenziale, die selbst bei konservativer Betrachtung in der Größenordung von über 50 Prozent liegen.
2. Integriert handeln: Eine gesamtheitlich und integriert angelegte Security-Roadmap wird nur dann ihrem Anspruch gerecht, sofern sich ihre elementaren Grundsätze auch auf der konkreten Realisierungsebene wiederspiegeln. Dies bedeutet, dass in Ableitung der übergreifend angelegten Konzepte auch Lösungen zum Einsatz kommen müssen, die sich durch ihr integratives Leistungsprofil charakterisieren. Dies bedeutet beispielsweise, dass sich eine NAC-Lösung problemlos mit einer Antiviren-Software verbinden lassen muss oder die beteiligten Systeme fertige Schnittstellen für eine softwaregestützte IT-Notfallplanung oder andere komplementäre Security-Lösungen bieten müssen.
3. Vorausschauend agieren statt reagieren: Recht typisch für die Praxis des IT-Sicherheitsmanagements ist das reaktive Verhalten bei neuen und sicherheitsrelevanten Phänomenen. Aktuelle Beispiele dafür sind die Mobility- und Bring-your-own-device-Trends im Markt. Obwohl sie sich schon seit geraumer Zeit angekündigt hatten, beschäftigten sich die Unternehmen mit diesen aus Security-Sicht neuen Problembereichen erst mit einem großen Zeitverzug. Die Folgen sind zumindest temporäre Risiken für die Unternehmensnetze, weil die mobile Nutzung von Endgeräten bis zur Implementierung adäquater Lösungen ohne ausreichenden Schutz erfolgt. Deshalb sollte die Antizipation zu den Kernsätzen der Sicherheitskonzepte gehören, indem sie mit einem Blick auf die zukünftigen Anforderungen kontinuierlich neu positioniert werden und nicht erst auf eine entstehende Bedürfnislage reagieren.
4. Einfachheit zum Prinzip machen: IT-Security-Themen genießen in den Chefetagen und im mittleren Management der Unternehmen eine oft labile Akzeptanz, weil diese Investitionserfordernisse einen schwer zu konkretisierenden Wertbeitrag generieren. Gerade deshalb sollte sich das Selbstverständnis in der Gestaltung der Security-Strukturen, den Auswahlentscheidungen für Security-Produkte, der Gestaltung der Prozesse, Administration und des Betriebes der Security-Systeme so ausrichten, dass es dem Prinzip der Einfachheit folgt. Sein Nutzen besteht darin, dass mit dieser Ausrichtung schlankere und aufwandsmindernde Verhältnisse im IT-Sicherheitsmanagement entstehen. Als wesentlicher Nebeneffekt wird erreicht, dass das Thema Security einen leichteren Zugang zur Managementebene erlangt.
5. Konsequent benutzerorientierte Ausrichtung: Für die User stellt der Umgang mit der IT-Sicherheit tendenziell ein eher belastendes weil aufwandsteigerndes Moment dar. Dies resultiert nicht zuletzt auch daraus, dass die Entwicklung der Security-Lösungen bisher der funktionalen Nutzenoptimierung folgte und Usability-Fragen dabei eher in den Hintergrund geraten sind. Weil das Benutzerverhalten – besonders in Zeiten mobiler Endgeräte – einen wesentlichen Aspekt des Sicherheitslevels darstellt, müssen intelligente Security-Konzepte auch berücksichtigen, dass benutzerfreundliche Lösungen zum Einsatz kommen. Dies hilft die Akzeptanz seitens der User zu steigern, wodurch auch das Sicherheitsniveau insgesamt positiv beeinflusst wird.
6. IT-Investitionen mit einem Security-Vorbehalt versehen: Es gibt praktisch keine technischen Modernisierungen mehr in der IT, die frei von Sicherheitsaspekten sind. Der Blick in die Unternehmensrealitäten zeigt jedoch, dass sie nicht grundsätzlich und in ausreichender Konsequenz in die Investitionsentscheidungen einfließen, sondern erst in späteren Phasen der Implementierung Berücksichtigung finden. Der Verzicht auf eine frühzeitige Integration der Security-Implikationen hat insofern erhebliche Konsequenzen und ist somit nicht intelligent angelegt, weil dadurch häufig nicht das günstigste Lösungskonzept zum Tragen kommen kann. Dies steigert den technischen und personellen Aufwand zur Gewährleistung der notwendigen Security-Bedingungen, was wiederum der Akzeptanz des Sicherheitsthemas einen Bärendienst erweist.