20070506zb ITSAS IT-Security Umfassende Konzepte
|
|
|
»manage
it«
als
|
IT-Security – mehr als Firewall und Virenschutz Umfassende Konzepte sind gefordert Wachsende Sicherheitsbedrohungen durch die digitale Vernetzung erfordern umfassende IT-Security-Konzepte in Unternehmen. IT-Sicherheit trägt als Teil der Unternehmenskultur und -strategie zur Zukunftsfähigkeit von Unternehmen bei.
ie zunehmende Vernetzung unserer Welt ist heute längst alltäglich. Ohne IT läuft heutzutage gar nichts; sei es in der Verwaltung, im Geschäfts- oder Privatleben. Immer mehr Mitarbeiter und Abteilungen kommunizieren über eine stetig zunehmende Zahl an Kommunikationskanälen mit immer mehr Partnern und Kunden rund um den Globus – und das ohne räumliche und zeitliche Grenzen. Diese Digitalisierung beschleunigt die Weltwirtschaft; birgt allerdings zugleich Gefahren in sich. Boombranche Wirtschaftsspionage Das Bundesamt für Verfassungsschutz (BfV) beobachtet zunehmende Gefahren durch internetgebundene Wirtschaftsspionage. Die Schäden durch den Know-how-Diebstahl werden längst in Milliardenhöhe angesetzt. Dabei gehen die Angreifer meist hoch kompetent vor und arbeiten mit Expertenwissen aus der Hacker-Szene. Einem aktuellen Verfassungsschutzbericht ist zu entnehmen, dass sich diese Angriffe überwiegend zu chinesischen Servern zurückverfolgen lassen. Die Vermutung liegt nahe, dass es sich hier um organisierte Angriffe handelt, da sie sehr koordiniert und mit einer hochwertigen Technik ablaufen. In Deutschland sind besonders Mittelständler gefährdet, deren Netzwerke oft nicht durch aufwendige Sicherheitsarchitekturen geschützt sind. Das Bewusstsein für die Risiken durch Wirtschaftsspionage wächst zwar, aber viele Unternehmen schützen ihre Daten dennoch nur mit Standardmaßnahmen: Firewalls und Virenschutzprogrammen. Von einer umfassenden IT-Security sind sie weit entfernt.
IT-Security bezeichnet nicht nur die Sicherheit eines Computer-Netzwerks, sondern viel grundsätzlicher die Informationssicherheit in all ihren einzelnen Facetten – vom Mensch über die Organisation und Infrastruktur bis zur Technik. So abgegriffen der Begriff »ganzheitlich« sein mag, so passend ist er hier für die Entwicklung von IT-Sicherheitskonzepten. Gute IT-Berater haben deshalb alle Aspekte der IT-Security im Blick, angefangen bei der Sicherheitskultur im Unternehmen. Denn ein umfassendes Sicherheitskonzept sollte in der Strategie des Unternehmens fest auf der Agenda der Geschäftführung verankert sein. Einerseits aus dem einfachen Grund, dass die Geschäftsführung für Sicherheitslücken und daraus resultierende Schäden persönlich haftbar ist. Andererseits, weil IT-Security dadurch die nötige Bedeutung bekommt und auf die einzelnen Strukturen des Unternehmens herunter gebrochen werden kann. Dem Faktor Mensch kommt eine Schlüsselrolle in der IT-Security zu, denn Mitarbeiter tragen mit ihren Einstellungen und Verhalten die Sicherheit des Unternehmens. In einer funktionierenden Sicherheitskultur werden Mitarbeiter nicht als wandelndes Risiko betrachtet, sondern die Informationssicherheit wird auf allen Ebenen umgesetzt. Zur Verantwortung des Managements gehört die Sensibilisierung und Schulung der Mitarbeiter – und natürlich die Vorbildfunktion. Ziel ist, die Sicherheit als ständigen Begleiter im Arbeitsalltag präsent zu wissen, ohne dass Arbeitsprozesse belastet werden. Dabei versteht es sich von selbst, dass sich niemand täglich ein neues Passwort merken kann. Daher sollten grundsätzlich vernetzte IT-Systeme deshalb so offen wie möglich, aber so geschlossen wie nötig sein. Standards und Zertifizierungen
Ernstzunehmende Anforderungen an die Sicherheit gibt es nicht nur in Branchen mit besonders sensiblem Regelwerk wie zum Beispiel im Bankenumfeld mit Basel II. Zur Bewertung und Zertifizierung (Qualitätsmanagement) der Sicherheit von IT-Systemen gibt es internationale Standards wie die US-amerikanischen TCSEC- und die europäischen ITSEC-Standards sowie der neuere Common-Criteria-Standard. Die Zertifizierung erfolgt in Deutschland in der Regel durch das Bundesamt für Sicherheit in der Informationstechnik (BSI). Doch die Zertifizierung kann keine Bestätigung für eine final sichere IT-Lösung sein, denn Business und Vernetzung befinden sich im ständigen Wandel. »Baustelle« IT-Security? Märkte verändern sich, neue Geschäftsmodelle lassen sich erschließen, neue Kommunikations-Tools ermöglichen neue Chancen und sorgen auch für veränderte Risiken. Mit anderen Worten: IT-Security ist eine permanente »Baustelle«, die es den aktuellen Änderungen kontinuierlich anzupassen gilt. Die it’ veranschaulicht diesen Prozess anhand des allgemein anerkannten Kreislaufmodells (siehe Abbildung). Nach der Analyse des Ist-Zustandes in einem Unternehmen oder einer Institution folgen die Konzeption und die Umsetzung. Der so erreichte Soll-Zustand bedarf dann wiederum der Analyse, je nach internen oder externen Veränderungen oder Neuerungen. Dieser im ersten Schritt erreichte Soll-Zustand wandelt sich so zum nächsten Ist-Zustand und so weiter in bester, dialektischer Tradition. Manches Unternehmen schreckt vor solch umfassenden IT-Security-Maßnahmen zurück, denn sie erscheinen als kosten- und aufwandsintensiver, nie endender Prozess mit unklarem Nutzen. Betrachtet man IT-Security rein passiv als Methode der Gefahrenabwehr, hat man es tatsächlich mit einem notwendigen Übel zu tun. Zudem erweist sich ein ganzheitliches IT-Security-Konzept als sperrig hinsichtlich einer Kosten-Nutzen-Kalkulation. Man denke zum Beispiel an den Versuch, die Kosten-Nutzen-Rechnung einer Hausratsversicherung aufzustellen: Waren die Versicherungskosten eine gute Investition, obwohl nie eingebrochen worden ist oder nicht? Anscheinend lohnt sich die Investition in Sicherheit immer erst im Schadensfall, also im Bereich der IT-Security in der ernsthaften Existenzbedrohung für ein Unternehmen. Hier hilft ein kleiner Perspektivenwechsel. Sicherheit, Vertrauen, Zukunft Die Abwehr von Bedrohungen über das Netz ist ein wichtiger, aber eben nur ein Aspekt der Informationssicherheit. Eine zweite Komponente ist die Vertrauenswürdigkeit eines Unternehmens – und damit seine Zukunftsfähigkeit. Oder würden Sie mit einem Kunden oder Lieferanten zusammenarbeiten, der seine sicherheitstechnischen Hausaufgaben nicht gemacht hat und damit auch für Sie selbst zu einem Risiko werden kann? Was nützt Ihnen die vollkommenste Informationssicherheit, wenn ihre sensiblen Daten bei einem Partner in falsche Hände geraten können? IT-Security trägt also maßgeblich zur Zukunft von Unternehmen und Institutionen bei und ist ein wichtiger Teil der Unternehmensstrategie. In dieser Funktion fungiert IT-Security gleichsam als »Enabler«: Erst eine funktionierende Sicherheitskultur ermöglicht die sichere Integration und Nutzung neuer Technologien, Möglichkeiten und Geschäftsfelder. Bestehende Prozesse können optimiert und neue Anforderungen leichter erfüllt werden, etwa aus dem Bereich Compliance. So umfassend das Thema IT-Security ist, so übergreifend sind auch die Effekte: Unter dem Strich stehen Sicherheit, Zukunftsfähigkeit und Wettbewerbsvorteile. Marion Missal ___________________________________________________________ Marion Missal, Leiterin Security Competence Center bei der IT-Services and Solutions GmbH
|
Folgen Sie »manage it« auf Google+
|
