Ich versuche das zu erklären, denn es lassen sich solche Abläufe durchaus verbessern.
Gehen wir davon aus, dass das Top-Management großer Konzerne bereits sensibilisiert ist. Die Nachrichten von gehackten Webseiten überfluten sie ja derzeit im großen Stil. Dennoch bleibt Change-Management eine der größten Herausforderungen in der IT-Security. Die aktuellen Informations- und Kommunikationsprozesse sind offensichtlich nicht darauf ausgerichtet. Das Management hält sich an die meist nach langen Überlegungen und Abwägungen eingeführten internen Prozesse, die ja wichtig sind - schließlich hat man ja so gründlich und lange daran gearbeitet - und verhindert damit eine schnelle Lösung. Die wäre nur dann möglich, wenn der IT-Security-Experte vorab allein entscheiden darf, ohne Rücksprache und langwierige Diskussion im Managerkreis. Hier könnten große Organisationen von Kleinunternehmen lernen: Denn dort, wo die ökonomische Realität dafür sorgt, dass meist nur ein oder zwei Verantwortliche das gesamte Netzwerk verantworten, werden meist schnelle, weil vom Management unbeeinflusste IT-Entscheidungen getroffen.
Das mag manchmal zu unsauberen Abläufen führen und eigene Probleme aufwerfen. Schneller und effektiver gegen aktuell auftretende Gefahren ist es aber sicherlich.
Bisher gilt aber meist: "Never run a changing system". Das ist immer noch der Wahlspruch für das Gros der IT-Experten. Nur nichts ändern, solange es läuft. Security-Lücken sind ja genau deshalb so gefährlich, weil sie nicht angefasst werden, solange sie nicht stören. Läuft das System rund, ist alles gut. Sogar dann, wenn Daten gestohlen werden, erfüllt das System noch immer seine Primärfunktion. Viele IT-Security-Prozesse sind in größeren Umgebungen absichtlich langsam implementiert, da Stabilität bei der Konzeption oft als oberste Prämisse definiert wurde. Traditionell müssen mehrere Experten und Manager zustimmen, bevor eine Änderung vorgenommen wird. Und genau an diesem Punkt wird es kritisch. Denn die rettenden Maßnahmen müssten ja binnen Stunden bereits umgesetzt sein.
Neben diesen internen Kommunikations- und Entscheidungsstrukturen steht mindestens gleichrangig die technische Infrastruktur. Gefragt sind Systeme, die Change-freundlich sind, das heißt, dass Auswirkungen von kleineren Änderungen absehbar sind, vielleicht sogar trocken überprüfbar.
Um auf Augenhöhe mit den virtuellen Gegnern zu kämpfen, können Security-Verantwortliche von den Angreifern lernen: Sie handeln, müssen sich nie rückversichern. Die Pflicht der Manager besteht daher darin, definierte Prozesse zu beschleunigen und sich aus diesen herauszunehmen."