|
|
Herstellung von IT-Security als kontinuierlichen Prozess begreifen Laut Ampeg muss die Wirksamkeit
der IT-Sicherheit grundlegend verbessert werden (26.04.11) - Anlässlich des "Safer Internet Day 2011"
legte die "Nationale Initiative für Informations- und
Internet-Sicherheit" (NIFIS e.V.) eine Umfrage vor, die zeigte, dass
viele Unternehmen IT-Sicherheit noch immer vernachlässigen. So wird "Sicherheit [...] als einmaliges Ereignis verstanden. Investitionen werden vorgenommen, dauerhafte Pflege und Wartung aber sträflich vernachlässigt". Im April kritisierte die NIFIS erneut den oft laxen Umgang mit IT-Sicherheit in Unternehmen. Diese "...riskieren mit unerkannten Sicherheitslücken den Unternehmenserfolg", sagt Mathias Gärtner, stellvertretender Vorsitzender der NIFIS. Die Sicherheitsspezialisten von Ampeg
sehen das ebenso. Jedoch erscheinen ihnen die "Zehn ersten Schritte zur
besseren Informations-sicherheit" (1)
der NIFIS nicht ausreichend, um IT-Security professionell
zu betreiben. Ampeg empfiehlt eine strategischere Herangehensweise.
Anzeige
"Wir schätzen die Bedrohung durch unerkannte
Sicherheitslücken ebenso hoch ein wie die NIFIS", sagt Peter Graf,
Geschäftsführer von Ampeg. "Der mit der
Warnung veröffentlichte Leitfaden reicht aus unserer Sicht aber nicht aus, um
wirksame IT-Sicherheit herzustellen. Die Tipp-Liste
mag einige Denkanstöße enthalten - z.B. dass Unternehmen den Schutzbedarf
durch eine Risiko-analyse feststellen und alle Systeme durch Passwörter
schützen sollten. Wer aber den Anspruch hat, IT-Sicherheit
professionell zu betreiben, der sollte die Herstellung von IT-Sicherheit als kontinuierlichen Prozess begreifen und bei dessen Ausgestaltung strategisch vorgehen. Folgendes Vorgehen ist geboten: 1. Sicherheitsrichtlinien festlegen In den Sicherheitsrichtlinien beschreibt ein Unternehmen,
wie das übergeordnete Ziel der Risikominimierung erreicht werden soll. Nach
einer - auch in den NIFIS-Tipps geforderten - Risikoanalyse werden Ziele und Regeln für die einzelnen Risikobereiche definiert. 2. Konkrete Zielsetzungen und Messung Aus den Richtlinien müssen messbare Ziele für die IT-Sicherheitsmaßnahmen (Firewalls,
Virenscanner, Patch-Management, Security-Awareness etc.) abgeleitet werden. Anhand von Kennzahlen muss dann der Erfüllungsgrad bestimmt und laufend überwacht werden. 3. Kontinuierliche Verbesserungen Ist der Erfüllungsgrad für die einzelnen Maßnahmen
bekannt, werden auch Schwachpunkte transparent. Ein
Sicherheitsverantwortlicher, der beispielsweise weiß, dass das gewünschte
Sicherheitsniveau nicht erreicht wird, kann Verbesserungen im IT-Sicherheitsbetrieb einleiten. Die Wirksamkeit der IT-Sicherheit wird somit erhöht und das Restrisiko
minimiert. (Ampeg: ma) (1) NIFIS-Leitfaden: Tipp 1: Führen Sie eine Risikoanalyse durch Tipp 2: Informationssicherheit beginnt von oben Tipp 3: Richten
Sie Passwörter und Benutzernamen für jeden Rechnerzu-gang ein Tipp 4: Ohne
Virenscanner (auf jedem Rechner) und Firewall
(mindestens eine Firewall zwischen Internet und Intranet) darf heute kein EDV-System mehr betrieben werden Tipp 5: Informationssicherheit stellt die Betriebsfähigkeit des Unternehmens sicher Tipp 6: Erstellen Sie einen Notfallplan Tipp 7: Regeln Sie die private Nutzung Ihrer Infrastruktur Tipp 8: Mobile Datenträger sind notwendige Arbeitswerkzeuge Tipp 9: Ihre physikalische Infrastruktur sollte der Wichtigkeit entsprechend gesichert sein Tipp 10: Erstellen Sie Zugriffsregeln auf Ihre Daten auf den Servern |
||
|
