Rubrik: Markt/Hintergrund

secaron: Die ideale IT-Abteilung aus Sicht der IT-Sicherheit

Die wichtigsten Punkte, die ein CIO bei der Gestaltung seines Bereiches berücksichtigen muss

(19.08.03) - Kein Unternehmen kommt ohne IT-Schutzmaßnahmen aus. So bestanden etwa Notfallrichtlinien und Rollen- und Berechtigungskonzepte schon bevor der Begriff IT-Sicherheit überhaupt geprägt wurde. Dieser entstand zeitgleich mit der Nutzung des Internets als gemeinsame Informationsplattform. Zu Beginn stand jedoch der Schutz vor unberechtigten Zugriffen von außen im Mittelpunkt. Parallel mit dem World Wide Web schufen die Unternehmen Schutzsysteme vor unberechtigten Zugriffen aus dem Internet.

Die IT-Abteilungen bauten Expertise zu Firewalls, Virenschutz, VPN, Integritätscheckern, Kryptographie und Public Key-Infrastrukturen (PKI) auf, sie warteten und entwickeln diese Schutzsysteme systematisch weiter. Oberstes Ziel war es, das bestehende Sicherheitsniveau beizubehalten, welches geprägt war von zentralen Hosts und zentralen Rechenzentren. Es galt primär, die interne IT-Landschaft vor Angriffen von außen so weit wie möglich zu schützen und die Einhaltung der klassischen IT-Schutzziele Verfügbarkeit, Vertraulichkeit und Integrität in einer sich verändernden IT-Welt weiterhin zu garantieren.

Mittlerweile fand jedoch ein Paradigmenwechsel statt. Mit der zunehmenden Öffnung der internen IT-Landschaft für den externen Zugriff durch Kunden, Partner und Lieferanten haben sich auch die Bedrohungsszenarien gewandelt. Es genügt nicht länger, sich von der Außenwelt abzuschotten und Sicherheit somit auf Design und Betrieb der Perimeternetzwerke zu begrenzen.

IT-Sicherheit ist auch nicht länger eine interne Angelegenheit. Die IT-Welten der Unternehmen, ihrer Kunden, Partner und Lieferanten verschmelzen zusehends. Sicherheit kann nur noch in inner-und überbetrieblicher Kooperation erreicht werden und erstreckt sich vom Netzwerkdesign, über das Applikationsdesign bis hin zum Betrieb der IT-Systeme. Die eigene Sicherheit ist längst auch die Sicherheit der anderen geworden: der Missbrauch von Mailservern zum Versand von SPAM Mails oder der Virenbefall der eigenen Clients und Servern berührt oftmals externe Nutzer ebenso wie die Mitarbeiter im Hause.

Allgemein gilt dabei: IT-Sicherheit kann nur auf Dauer funktionieren, wenn Sie als Qualitätsmerkmal von IT-Systemen und deren Betrieb verstanden wird.

Warum besteht Handlungsbedarf?

Es gibt unterschiedliche Gründe, seine IT-Sicherheitsorganisation auf den Prüfstand zu stellen. Die zunehmende Abhängigkeit vieler Unternehmen von einer funktionsfähigen und verlässlichen Kommunikations- und Informationstechnik (IuK) ist die wichtigste, nicht zu vergessen die Berücksichtigung der rechtlichen Anforderungen und eventuelle vertragliche Vereinbarungen mit Geschäftspartnern.

IT-Risiken gefährden längst nicht mehr die Unternehmen im Einzelnen, die Wirtschaft als Ganzes steht in Gefahr, durch gezielte Angriffe aus dem Ruder zu geraten. Der Gesetzgeber hat längst auf die zunehmende Vernetzung zwischen den Unternehmen reagiert. Beispiele hierfür sind die Novellierung des Bundesdaten-schutzgesetzes (BDSG) sowie von AktG und HGB im Rahmen des Gesetzes für Kontrolle und Transparenz in Unternehmen (KonTraG).

Erst mit einem weitsichtigen Blick auf die gesamte IT-Landschaft können IT-bezogene Bedrohungen frühzeitig erkannt und durch fachlich geeignete und wirtschaftlich angemessene Schutzmaßnahmen in ihrer Schadenswirkung minimiert werden.

Hierzu sind neben der individuellen Risikolage insbesondere genaue Kenntnisse über die vorhandenen Sicherheitssysteme und deren Schnittstellen untereinander erforderlich.

Um zu einem koordinierten Vorgehen zu  gelangen, muss die Zusammenarbeit der Experten in den einzelnen Fachabteilungen garantiert werden. Nur eine von der Geschäftsleitung klar formulierte Zielvereinbarung führt zu einer guten Zusammenarbeit und letztendlich zu einer zufriedenstellenden Sicherheitsorganisation im Unternehmen.

Was muss getan werden?

Oft genügt bereits eine bessere Steuerung der internen Ressourcen und eine exakte Abgrenzung der Arbeitsfelder aus, den dynamischen Prozess der IT-Sicherheit erheblich effektiver zu gestalten.

Die häufigsten Schwachstellen im IT-Sicherheitsmanagement sind:

·         Keine in der Aufbauorganisation verankerte Sicherheitsorganisation

·         Kein Risikomanagement, fehlende Notfallpläne (Intrusion Detection)

·         Keine defensiven organisatorischen Maßnahmen (Vulnerability Management)

·         Falsches Gefühl der Sicherheit wegen falscher Maßstäbe & Werkzeuge

·         Nachlässigkeiten im Regelbetrieb (z.B. mangelndes Patch-Management)

Die häufigsten Auswirkungen sind:

·         Störung des Produktions- / Betriebsablaufs bis hin zum Stillstand

·         Verlust von Informationsvorsprung und Wettbewerbsvorteilen

·         Schädigung der Firma, von Vertragspartnern oder Dritten

·         Dadurch kein kontinuierlicher Verbesserungsprozess möglich

Ohne festgelegten Notfallplan wird überstürzt und hektisch gehandelt und es können im Nachhinein keine Schlüsse für die Zukunft festgelegt werden. Wohin dies führt ist augenscheinlich: oft wird durch eine Panikreaktion ein Stillstand der Systeme unnötigerweise produziert, was zur Imageschädigung und Wettbewerbsnachteilen führen kann.

Ausgereifte Notfallpläne und Eskalationswege entstehen und werden in Trockenübungen ausprobiert und verfeinert, denn ohne diese nutzen die besten technischen Schutzsysteme nichts. Diese könnten zwar Angriffe abwehren und die Daten liefern, um die Bewertungen der Gefahren bei einem Angriff vornehmen zu können.

Schritte zu einem erfolgreichen Sicherheitsmanagement

Die Sicherheitsorganisation ist der erste Schritt zu einem erfolgreichen Sicherheitsmanagement. Mit ihr steht und fällt das Sicherheitsniveau des Gesamtunternehmens.

Eine erfolgreiche IT-Sicherheitsorganisation besteht dabei aus den folgenden drei Elementen:

1.        Sicherheitsverantwortung: Diese liegt entweder beim Vorstand (per Gesetz), oder wird von diesem unter Einschluss der für die Wahrnehmung der Aufgaben erforderlichen Kompetenzen an einen "Security-Officer" delegiert

2.        Einrichtung einer zentralen Koordinationsstelle für IT-Sicherheit: Diese fungiert als Dienstleister mit der erforderlichen Fachkompetenz innerhalb der IT-Organisation

3.        Etablierung einer Kontrollinstanz (intern oder extern): Abgleich der implementierten und gelebten Sicherheitsvorkehrungen mit dem Soll und Report an den Vorstand und Security-Officer

Die Bündelung der Koordination für Sicherheit an einer zentralen Stelle darf dabei nicht zur Alibifunktion verkommen. Vielmehr ist durch diese zentrale Stelle die IT-Sicherheit als Qualitätsmerkmal in die IT-Organisation und -Systeme zu propagieren und zu steuern. Die Umsetzungsverantwortung für die Sicherheitsziele sollte in jedem Fall bei den Projekt-, System- und Betriebsverantwortlichen bleiben. Die zentrale Sicherheits-Koordinierungsstelle fungiert idealerweise als Dienstleister in der eigenen IT-Organisation.

Da Sicherheit ein Merkmal ist, das nur durch Nichtauftreten“von Schadensfällen, bzw. durch effiziente und zielgerichtete Handlungsweise im Krisenfall qualifiziert wird, ist der Aufbau eines Kontroll- und Reportingsystems an den Vorstand, bzw. Security Officer unabdingbar.

International anerkannte Standards weisen den Weg

In der IT-Sicherheit haben sich im Laufe der Jahre Standards etabliert, welche sich intensiv mit der Gestaltung der Sicherheitsorganisation beschäftigen.

Das Sicherheitsmanagement eines Unternehmens kann sogar mit einem Gütesiegel versehen werden. Innerhalb Deutschlands nimmt das Bundesamt für Sicherheit in der Informationstechnik (BSI) Zertifizierungen eines IT-Verbunds nach dem Grundschutzhandbuch (GSHB) vor, wobei ein IT-Verbund eine IT-Anwendung sein kann bis hin zur kompletten IT des Unternehmens. Ein europäisch agierendes Unternehmen wird jedoch eher eine Zertifizierung nach ISO Standard 17799 anstreben.

Im Gegensatz zum GSHB befasst sich der ISO/IEC17799 Standard hauptsächlich mit dem Aufbau eines IT-Sicherheitsmanagements und seiner Verankerung in der Organisation. Anders als im IT-Grundschutzhandbuch finden sich hier keine detaillierten Umsetzungshinweise, sondern übergreifende Anforderungen.

Der aufwändige Prozess der Zertifizierung muss jedoch nicht durchlaufen werden. Es lohnt sich aber, den Vorgaben dieser Gremien zu folgen, erstens, um das Rad nicht neu zu erfinden und zweitens, um den Aufwand bei einem späteren Zertifizierungswunsch gering zu halten.

Box: IT-Sicherheitsstandards

·         CobiT - Control Objectives for Information and related TechnologyIT Governance Institute: www.isaca.org/cobit.htm

·         BS7799 - Information Security ManagementBritish Standard Institution: www.bsi-global.com

·         ISO 17799 - Entspricht Teil 1 des BS7799.

·         IT-GSHB - Grundschutzhandbuch für den mittleren SchutzbedarfBundesamt für Sicherheit in der Informationstechnik www.bsi.de/gshb. Das Grundschutzzertifikat bestätigt auch Erfüllung von ISO 17799.

Fazit

Ist erst einmal das Bewusstsein für die IT-Sicherheit im Unternehmen geweckt und die Teilnahme aller Mitarbeiter von oberster Stelle eingefordert, kann bereits eine kleine Organisationseinheit zur IT-Sicherheit innerhalb kurzer Zeit einen dem Geschäftsmodell des Unternehmens angemessen Sicherheitsstandard etablieren und aufrecht erhalten. Die optimale Ausgestaltung und Schnittstellendefinition hängt sehr stark von der Größe des Unternehmens und der gelebten Unternehmenskultur ab.

Die secaron AG ist ein unabhängiges IT-Security Beraterhaus. Das Dienstleistungsangebot umfasst alle Aspekte im Bereich des  IT-Sicherheitsmanagement und -Risikomanagement, angefangen bei der Konzeption von Security-Policies, Durchführung von IT-Sicherheits-Audits, Sicherheitszertifizierungen bis hin zur technischen und organisatorischen Planung und Umsetzung von Sicherheitsmaßnahmen und Lösung. www.secaron.de. (ma)

Secaron AG

Kontakt: Sabine Ziegler

Ludwigstr. 55, 85399 Hallbergmoos

Tel. (0811) 9594-144, Fax (0811) 9594-220

E-Mail: ziegler@secaron.de

Web: www.secaron.de