conhIT 2016 oder „Security is a process, not a product“

© 2016 Messe Berlin

© 2016 Messe Berlin

Die conhIT wirft Ihre Schatten voraus. Als wir uns im Herbst mit einem guten Kunden für einen Vortrag zum Thema IT-Sicherheit bewarben, waren wir überrascht, von den Veranstaltern ausgewählt worden zu sein. Schließlich gab und gibt es eine Reihe anderer spannender Themen in der Gesundheits-IT, die seinerzeit weiter oben auf der Agenda standen.

Als Anfang des Jahres die (in Fachkreisen seit langem bekannten) IT-Sicherheits-Probleme in Krankenhäusern einer breiteren Öffentlichkeit bewusst wurden, versuchte natürlich auch die Messe das Thema aufzugreifen. Angesichts des großen Nachholbedarfs der Branche ist dies ausdrücklich zu begrüßen!

Natürlich fühlen sich – wie immer in solchen Fällen – auch eine Menge „Glücksritter“ aufgerufen, um ein Stück vom Kuchen abzuhaben und bieten Geschäftsführern tolle IT-Sicherheits-Produkte an. Wichtig scheint mir dabei nochmals an eine Erkenntnis von Bruce Schneier, einem der Mitbegründer der modernen IT-Sicherheit, zu erinnern, der in seinem Standardwerk „Secrets & Lies – Digital Security in a Networked World“ bereits im Jahr 2000 bemerkte: „Security is a process, not a product“.

Das bedeutet, dass es nicht genügt, eine Sandbox zu kaufen, einen Penetrationstest zu bestellen oder in einen Krypto-USB-Stick zu investieren. Um nicht falsch verstanden zu werden: Sicher gibt es eine Reihe von guten Tools, die in bestimmten Fällen Sinn machen können. Aber man kann sich damit eben keine Sicherheit einkaufen. Die erreicht man nur, in dem man in einem ersten Schritt die entsprechenden Prozesse organisiert und für den entsprechenden Kontext, sprich das jeweilige Krankenhaus optimiert , d.h. praktikabel, akzeptabel und bezahlbar gestaltet.

Im selben Buch an anderer Stelle steht es etwas plakativer: „If you think technology can solve your security problems, then you don’t understand the problems and you don’t understand the technology.“

———————-

Mitteilung in eigener Sache: Die Dahamoo GmbH wird die conhIT mit mehreren Mitarbeitern besuchen. Sollte Sie an einem Austausch zum Thema IT-Sicherheit interessiert sein, wenden Sie sich bitte an info@dahamoo.com zwecks Terminabsprache.

No tags.
  • Trackbacks
  • Comments
  • Comments are disabled.
  • Trackbacks are disabled.