4 zentrale Bausteine für mehr IT-Sicherheit

IT-Sicherheit ist für Unternehmen ein entscheidendes Element in der Gesamtstrategie. Ich zeige Ihnen, welche Bausteine berücksichtigt werden sollten.

Der Einsatz von Informationstechnologie eröffnet Gefährdungsquellen – diese lassen sich durch geeignete Maßnahmen jedoch eindämmen. Heute stehen vor allem vier Bausteine im Blickpunkt: die Softwareentwicklung, technische Schutzmaßnahmen, Mitarbeiterschulungen und das Risikomanagement.

1. Sichere Software ist Grundvoraussetzung

Eine wichtige Voraussetzung für sichere IT-Systeme ist, dass bereits bei der Softwareentwicklung Erfahrungswerte für gute und für schlechte Praktiken beachtet werden und die Software verschiedenen Sicherheitstests, beispielsweise einer Codeanalyse und einem Penetrationstest, unterzogen wird. Diesbezüglich verweise ich auf den gerade erschienenen Bitkom-Leitfaden zur Sicherheit softwarebasierter Produkte, an dem ich mitgewirkt habe. Softwareentwickler haben in der Regel eine gute Vorstellung davon, wie ihre Software angegriffen werden kann. Die Herausforderung ist, zur Entwicklung funktionsfähiger und sicherer Software zu motivieren. Dies erfordert einen ausreichenden Zeitrahmen und die Schärfung des Qualitätsbewusstseins.

2. Bei technischen Schutzmaßnahmen ist Expertenwissen gefragt

Beim Betrieb von Systemen, die hinsichtlich ihrer Verfügbarkeit bzw. der Vertraulichkeit oder Integrität ihrer Daten einen besonderen Schutzbedarf haben, kommt technischen Schutzmaßnahmen (Verschlüsselungsverfahren, restriktive Konfigurationen, Firewalls, Intrusion Detection, Intrusion-Prevention-Systeme usw.) die höchste Priorität zu. Ihr Einsatz wie auch ihre wirksame Konfiguration erfordern Expertenwissen, das aufgrund der sehr dynamischen Entwicklung sowohl möglicher Bedrohungen als auch neuer Verfahren und Technologien permanent auf dem aktuellsten Stand gehalten werden muss.

Dieses Expertenwissen kann nicht durch die Verwendung von IT-Grundschutz-Katalogen des Bundesamts für Sicherheit in der Informationstechnik (BSI) ersetzt werden. Diese bieten eine gute Orientierung – die Erfahrung zeigt jedoch: Die wirksame Absicherung einer komplexen Betriebsinfrastruktur erfordert deutlich mehr Know-how.

3. Schulungen bringen mehr als Verbote

Bei einer Bedrohung der IT-Sicherheit denkt man zunächst an externe Angreifer. Dabei stellen auch alle in die Anwendungsfälle sowie Unterstützungs- und Betriebsprozesse involvierten Menschen eine potenzielle Gefahr für die Vertraulichkeit, Verfügbarkeit und Integrität dar. Selbstverständlich sind technische Einschränkungen wie Zugriffs- und Zutrittsbeschränkungen oder auch “Überwachungen” (z.B. Virenscanner) unbedingt erforderlich – aber insgesamt halte ich in einem Unternehmen, das von Wissensarbeit und Innovationen lebt, Einschränkungen (Internetzugang, Sperren von USB-Ports oder Verbot von Kollaborationswerkzeugen) für kontraproduktiv.

Der IT-Sicherheit dient es, Mitarbeiter über Risiken aufzuklären, sie zu sensibilisieren und hinsichtlich guter Praktiken zu schulen. Außerdem ist ein konstruktiver Umgang mit Sicherheitsvorfällen erforderlich, d.h. für festgestellte Sicherheitsverstöße muss eine Ursachenanalyse durchgeführt werden. Um ein künftiges Auftreten zu verhindern, gilt es, geeignete Maßnahmen zu identifizieren, sie umzusetzen und anschließend die Wirksamkeit zu überprüfen.

4. Risikomanagement: Analyse anstatt Abhaken

Für ein Unternehmen ist es eine nicht zu unterschätzende Herausforderung, bestehende Sicherheitsrisiken zu identifizieren. Aber genau dies ist die Voraussetzung, um nicht nur auf Schadensereignisse zu reagieren, sondern um präventiv tätig zu werden und mögliche Risiken auf ein Minimum zu reduzieren. Hilfreich ist dabei ein Regelwerk, das möglichst umfassend alle Sicherheitsziele beschreibt. Aus der Qualitätssicherung kennt man Modelle, wie sie der Standard ISO/IEC 25010 beschreibt, für die Informationssicherheit haben wir uns bei PASS für eine Orientierung an der ISO/IEC 27001/27002 entschieden.

Nachdem wir 2011 erste Ansätze eines Informationssicherheitsmanagementsystems (ISMS) implementiert hatten, stellte sich schnell heraus, dass das reine “Abhaken” eines Zielkatalogs keinerlei Nutzen bringt. Er kann lediglich als Vorlage dienen. Für jedes Asset innerhalb des Unternehmens müssen die vorgeschlagenen Maßnahmen individuell angepasst werden. Jede Anwendung muss gesondert betrachtet werden.

Hinzu kommt, dass ein Abhaken im Sinne der binären Information “Ziel erreicht” bzw. “Ziel nicht erreicht” zu kurz gegriffen ist: Es muss festgestellt werden, welcher Schaden im Fall einer Nichterreichung eines jeden Ziels entstehen kann. Dabei geht es nicht nur um den monetären Schaden, sondern auch um einen möglichen Reputationsschaden oder die Konsequenzen von Gesetzesverstößen. Bevor Entscheidungen über Maßnahmen zur Risikobehandlung getroffen werden können, ist zudem eine Bewertung der Eintrittswahrscheinlichkeit bzw. der Periodizität von Schadensereignissen erforderlich. Erst das Gesamtbild ist eine geeignete Grundlage, um zu beurteilen, ob man mit dem Restrisiko leben kann oder ob Maßnahmen zu ergreifen sind.

Das IT-Sicherheitsmanagement durch Tools unterstützen

Eine unserer zentralen Erkenntnisse: Das Risikomanagement hat nur dann einen Nutzen für das Unternehmen, wenn es nicht von einem einzelnen Mitarbeiter durchgeführt wird, sondern alle Asset Owner einbezogen werden. Ein Risikoportfolio enthält schnell mehrere Tausend Einflussfaktoren (verschiedene Systeme, Anwendungen, Gebäude, Räume, Dienstleister usw.) mit spezifischen Bedrohungen. Deren Auswirkungen und Eintrittswahrscheinlichkeiten kann nur der jeweilige Asset Owner realistisch einschätzen.

Um eine dezentrale Bewertung der Risiken mit einer konsolidierten Sicht auf die Gesamtrisiken zu kombinieren, haben wir den PASS Risk Advisor (PRA) entwickelt: Er führt Asset Owner über kontextabhängige – von der ISO/IEC 27001 wie auch den Grundschutzkatalogen abgeleitete – Fragebögen durch die Risikobewertung und schlägt anschließend Best Practices für die Risikobehandlung vor.

Der Risk Advisor erhöht die Effizienz im Risikomanagement: Risiken werden direkt von den Experten und somit nicht “aus der Ferne” bewertet. Der Zeitaufwand ist für alle Beteiligten dank der Unterstützung durch methodenkonforme Regelwerke relativ gering. Die verbleibende Arbeitslast verteilt sich auf viele Personen.

IT-Sicherheit anhand etablierter Standards

Werden alle Bausteine entsprechend berücksichtigt, können Risiken reduziert und Gefahren eindämmt werden. Der Aufbau eines effektiven IT-Sicherheitsmanagements sollte immer von erfahrenen Sicherheitsexperten begleitet werden. Gerade für kleinere Unternehmen ist es zudem eine Option, auf einen externen Informationssicherheitsbeauftragten (ISB) zurückzugreifen.


Bildquelle: Shutterstock

Dieser Beitrag hat einen Kommentar

  1. Natha

    Vielen Dank für den guten Beitrag zur IT Sicherheit. Die IT Kosten sind auch ein Bestandteil der IT Sicherheit, die nicht vergessen werden sollte!

Schreibe einen Kommentar