Anlässlich des "Safer Internet Day 2011" legte die "Nationale Initiative für Informations- und Internet-Sicherheit" (NIFIS e.V.) eine Umfrage vor, die zeigte, dass viele Unternehmen IT-Sicherheit noch immer vernachlässigen.
So wird „“Sicherheit […] als einmaliges Ereignis verstanden. Investitionen werden vorgenommen, dauerhafte Pflege und Wartung aber sträflich vernachlässigt““. Im April kritisierte die NIFIS erneut den oft laxen Umgang mit IT-Sicherheit in Unternehmen. Diese „“…riskieren mit unerkannten Sicherheitslücken den Unternehmenserfolg““, so Mathias Gärtner, stellvertretender Vorsitzender der NIFIS. Die Sicherheitsspezialisten von Ampeg sehen das nach eigenen Aussagen ebenso. Jedoch erscheinen Ampeg die „“Zehn ersten Schritte zur besseren Informationssicherheit““ der NIFIS nicht ausreichend, um IT-Sicherheit professionell zu betreiben. Der Spezialist empfiehlt eine strategischere Herangehensweise.
„“Wir schätzen die Bedrohung durch unerkannte Sicherheitslücken ebenso hoch ein wie die NIFIS““, so Peter Graf, Geschäftsführer von Ampeg. „“Der mit der Warnung veröffentlichte Leitfaden reicht aus unserer Sicht aber nicht aus, um wirksame IT-Sicherheit herzustellen. Die Tippliste mag einige Denkanstöße enthalten – zum Beispiel, dass Unternehmen den Schutzbedarf durch eine Risikoanalyse feststellen und alle Systeme durch Passwörter schützen sollten. Wer aber den Anspruch hat, IT-Sicherheit professionell zu betreiben, der sollte die Herstellung von IT-Sicherheit als kontinuierlichen Prozess begreifen und bei dessen Ausgestaltung strategisch vorgehen.“
Folgendes Vorgehen sei geboten:
1. Sicherheitsrichtlinien festlegen
In den Sicherheitsrichtlinien beschreibt ein Unternehmen, wie das übergeordnete Ziel der Risikominimierung erreicht werden soll. Nach einer – auch in den NIFIS-Tipps geforderten – Risikoanalyse werden Ziele und Regeln für die einzelnen Risikobereiche definiert.
2. Konkrete Zielsetzungen und Messung
Aus den Richtlinien müssen messbare Ziele für die IT-Sicherheitsmaßnahmen (Firewalls, Virenscanner, Patch-Management, Security Awareness etc.) abgeleitet werden. Anhand von Kennzahlen muss dann der Erfüllungsgrad bestimmt und laufend überwacht werden.
3. Kontinuierliche Verbesserungen
Ist der Erfüllungsgrad für die einzelnen Maßnahmen bekannt, werden auch Schwachpunkte transparent. Ein Sicherheitsverantwortlicher, der beispielsweise weiß, dass das gewünschte Sicherheitsniveau nicht erreicht wird, kann Verbesserungen im IT-Sicherheitsbetrieb einleiten. Die Wirksamkeit der IT-Sicherheit wird somit erhöht und das Restrisiko minimiert.
Wie Unternehmen eine Qualitätssicherung für die IT-Sicherheit verwirklichen können, beschreibt das Konzept des Security Level Managements (de.wikipedia.org/wiki/Security_Level_Management) ausführlicher. Ampeg empfiehlt jedem Unternehmen, einen solchen Prozess einzurichten.
NIFIS-Leitfaden:
Tipp 1: Führen Sie eine Risikoanalyse durch
Tipp 2: Informationssicherheit beginnt von oben
Tipp 3: Richten Sie Passwörter und Benutzernamen für jeden Rechnerzugang ein
Tipp 4: Ohne Virenscanner (auf jedem Rechner) und Firewall (mindestens eine Firewall zwischen Internet und Intranet) darf heute kein EDV-System mehr betrieben werden
Tipp 5: Informationssicherheit stellt die Betriebsfähigkeit des Unternehmens sicher
Tipp 6: Erstellen Sie einen Notfallplan
Tipp 7: Regeln Sie die private Nutzung Ihrer Infrastruktur
Tipp 8: Mobile Datenträger sind notwendige Arbeitswerkzeuge
Tipp 9: Ihre physikalische Infrastruktur sollte der Wichtigkeit entsprechend gesichert sein
Tipp 10: Erstellen Sie Zugriffsregeln auf Ihre Daten auf den Servern