@fotolia.com@fotolia.com

    IT-Sicherheit, vernetzt

    In fünf Schritten zum belastbaren IT-Sicherheitskonzept

    Was haben der Bundestag, ein Gymnasium und ein Seitensprung-Online-Portal gemeinsam? Sie alle wurden kürzlich Opfer eines erfolgreichen Hacks und mussten den Verlust sensibler Daten hinnehmen. Für innovative Mittelständler mit hochsensiblen Produktzeichnungen und schützenswerten Kundenbeziehungen ist das erst recht ein Thema.

    “Um Schäden zu vermeiden, ist es wenig sinnvoll, einfach nur auf die neueste Technologie zu setzen und zu versuchen, punktuell Schwachstellen abzudecken”, mahnt  Bernhard Weber vom global agierenden Sicherheitsanbieter msg.

    “Nötig ist vor allem eine ganzheitliche IT-Sicherheitsstrategie.”

    Mit den folgenden fünf Arbeitsschritten sollten Unternehmen das Thema Sicherheitskonzeption daher angehen:

    Analyse: Zunächst müssen insbesondere alle kritischen Daten und Systeme des Unternehmens identifiziert werden, um deren Schutzbedarf für die Schutzziele der Informationssicherheit (Vertraulichkeit, Integrität, Verfügbarkeit) zu ermitteln. Hierbei müssen insbesondere die Datenverantwortlichen involviert sein, da nur sie eine sinnvolle Einschätzung der maximalen Schadenshöhen abgeben können. Auch das Erkennen einer Datenschutzrelevanz ist in dieser Phase wichtig.

    Risikobewertung: Anschließend erfolgt für den Ist-Zustand eine Risikobewertung. Dabei wird die potentielle maximale Schadenshöhe der Eintrittswahrscheinlichkeit von Gefährdungen gegenübergestellt. Beispiele dafür sind: Welche Folgen hätte ein Vertraulichkeits-Verlust bestimmter Daten? Wie wahrscheinlich ist der Eintritt einer entsprechenden Gefährdung? Hieraus ergibt sich ein „bewertetes Risiko“.

    Sicherheitsanforderungen: Die Risikobewertung zeigt, worin die vordringlichsten Risikoaspekte bestehen. Diese gilt es mit den unternehmenseigenen Compliance- und Sicherheitsanforderungen sowie mit Gesetzesvorgaben und Best-Practices abzugleichen. Wesentliches Ziel hierbei ist es, relevante Sicherheitsanforderungen zu identifizieren und diese im Sicherheitskonzept zu verankern. In großen Unternehmen dienen häufig Anforderungskataloge zur IT-Sicherheit als Richtlinien. Wenn noch keine entsprechenden Werke vorliegen, besteht auch die Möglichkeit, sich an gängigen Sicherheitsstandards, wie ISO/IEC 27001 oder ISO 27001 nach Grundschutz, zu orientieren.

    Maßnahmen: Mit dem bisher erarbeiteten Wissen über Risiken und Sicherheitsanforderungen folgt nun eine Ausarbeitung möglicher sinnvoller Maßnahmen. Hierbei ist eine umfassende Abstimmung mit den Systemverantwortlichen und Architekten erforderlich, um eine Sicherheitsarchitektur auszuprägen, die dem Zweck angemessen erscheint und zudem keine K.o.-Kriterien für Usability, Performance etc. hervorbringt.

    Restrisiken: Vor der endgültigen Umsetzung der Sicherheitsmaßnahmen muss eine Entscheidung fallen, ob diese in einem ausgewogenen Kosten-Nutzen-Verhältnis stehen oder ob eventuell auch ein Restrisiko akzeptabel ist. Wenn beispielsweise die Umsetzung einer Sicherheitsmaßnahme kostspieliger ist als der maximale Schaden, der durch die Gefahren eintreten kann, ist üblicherweise eine Restrisiko-Akzeptanz durch das Management das Mittel der Wahl.

    Lesen Sie auch: Passwortschutz – nur sichere Eselsbrücken helfen

    Mit der Erstellung entsprechender Sicherheitskonzepte ist ein wichtiger Schritt zur individuellen Absicherung der Unternehmensdaten, -prozesse, und -infrastruktur getan. Eine gute Dokumentation und nachhaltige Unterstützungsprozesse helfen, das Konzept an den Besonderheiten des Unternehmens auszurichten sowie auch eine kontinuierliche Verbesserung – Stichwort „KVP“ – zu erreichen. Schließlich soll das Sicherheitskonzept nicht nur irgendwo abgeheftet werden, sondern weiterentwickelt und idealerweise als integraler Bestandteil der Unternehmenskultur wahrgenommen werden.


    Wir freuen uns über Diskussionen und Ihre Kommentare.
    Wie in jeder Gemeinschaft ist es notwendig, dass sich alle Teilnehmer an die Netiquette halten. Durch Ihre Kommentare sollen interessante, gewinnbringende Debatten entstehen, an denen sich andere Nutzer gerne beteiligen. Beleidigungen und Schmähreden sind deshalb ebenso tabu wie Diskriminierungen und die unerlaubte Veröffentlichung persönlicher Daten. Bitte verstecken Sie sich auch nicht hinter Pseudonymen, sondern benutzen Sie Klarnamen.

    Kommentare

    1. Anregung zur Sicherheit bei SUET?
      Gruß JCK

      Antworten

    Kommentar absenden

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

    CAPTCHA-Bild

    *

    Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

    Lesen Sie weiter