Strukturierte Security-Prozesse

Sicherheit in geordneten Bahnen

800 LANline 2020-06 Vorschau SP2 LL2007 SP2 LL1707 Titel DC-Security und HA
© Wolfgang Traub

Nahezu täglich kommen neue IT-Sicherheitsvorfälle ans Licht der Öffentlichkeit. Die Konsequenzen eines fahrlässigen Umgangs mit dem Thema Sicherheit reichen dabei vom Datenverlust über Denial of Service bis hin zur Erpressung – Stichwort Ransomware. Dennoch investieren einige Unternehmen nach wie vor aus Kostengründen nur unzureichend oder punktuell in die IT-Sicherheit. Zur Gefahrenabwehr führt an der Etablierung strukturierter Security-Prozesse allerdings kein Weg vorbei. Unverzichtbar ist die Einführung eines Informationssicherheits-Management-Systems (ISMS).

Die steigenden Cyberrisiken und möglichen Sanktionen müssten für Unternehmen Anlass genug sein, eine umfassende IT-Sicherheitsstrategie zu verfolgen, beispielsweise mit der Nutzung integrierter End-to-End-Sicherheitslösungen und -Services. Vor allem aber muss klar sein: Hohe IT-Sicherheit lässt sich immer nur mit einer strukturierten Vorgehensweise und unter Berücksichtigung aller Unternehmensprozesse realisieren. Ein erster Schritt ist die Entwicklung eines Konzepts für die Etablierung eines Informationssicherheits-Management-Systems. Es hat sich gezeigt, dass eine ISMS-Einführung nur dann erfolgreich ist, wenn die Leitungsebene eines Unternehmens von Beginn an ihre Unterstützung zusichert. Dies ist allein schon deshalb wichtig, weil Maßnahmen für die Erhöhung der Informationssicherheit Investitionen erfordern. Zudem muss das Management alle notwendigen Veränderungen auch deshalb aktiv unterstützen, weil Modifikationen im Bereich der Sicherheit in der Regel Auswirkungen auf die Betriebsabläufe haben.

Trotz aller Herausforderungen muss kein Unternehmen bei der Informationssicherheit auf der grünen Wiese beginnen. So stehen zahlreiche etablierte Normen zur Verfügung, die den Weg vorgeben. Beispiele sind ISO 27001 und der IT-Grundschutz des BSI (Bundesamt für Sicherheit in der Informationstechnik). Selbst für kleinere und mittlere Unternehmen mit begrenzten Ressourcen gibt es Handlungsempfehlungen wie den „Leitfaden zur Basis-Absicherung nach IT-Grundschutz: In drei Schritten zur Informationssicherheit“ des BSI.

Risikobewertung als Startpunkt

Doch wie sollte ein Unternehmen bei der Festlegung einer Sicherheitsstrategie und der ISMS-Implementierung konkret starten? In der Praxis hat sich hier eine Basis-Sicherheitsprüfung (ein sogenannter „Quick Check“) als äußerst hilfreich erwiesen. Damit erhält jedes Unternehmen in kurzer Zeit einen guten Überblick über den  Stand der eigenen Informationssicherheit.

Zudem muss am Anfang einer ISMS-Initiative immer eine umfassende Risikobewertung stehen. Nur auf Basis einer Risikoanalyse und -bewertung kann ein Unternehmen adäquate Sicherheitsmaßnahmen ergreifen. Dabei ist auch zu analysieren, ob ein Aufwand in einem vernünftigen Verhältnis zu einem möglichen Schaden steht. Für IT-Systeme, die für die Wertschöpfung des Unternehmens entscheidend sind, gilt dabei: Maximale Schutzmaßnahmen sind Pflicht.

Effiziente Sicherheitsstrategie braucht ganzheitliche Betrachtung

Eine effiziente Sicherheitsstrategie erfordert immer eine ganzheitliche Betrachtung der Informationssicherheit. Dabei sollte ein Projektteam zumindest folgende Fragen beantworten: Wie sieht mein Informationsverbund aus? Welche IT-Systeme sind vorhanden? Welche Geschäftsbereiche nutzen welche Systeme? Das Ergebnis sollte eine klare Bestandsaufnahme der IT-Infrastruktur mit allen Schnittstellen und Abhängigkeiten und der Ermittlung aller zentralen Unternehmensprozesse sein.

Weiter stellen sich folgende Fragen: Wie gefährdet sind die Systeme wirklich? Sind die IT-Systeme nur Ziele von „Script Kiddies“ oder auch von Kriminellen oder sogar fremden Diensten? Was passiert mit dem Geschäft, wenn bestimmte IT-Systeme ausfallen? Hierbei geht es vor allem um die Bestimmung der unternehmenskritischen Systeme.

Hinzu kommen Aspekte wie zum Beispiel: An welcher Stelle verlassen Daten das Unternehmen? Wie sehen die Schnittstellen aus? Konkret muss man die Schnittstellen zu Externen ermitteln, etwa zu IT-Dienstleistern oder Lieferanten, aber auch zu Kunden. Wie wahrscheinlich ist ein Ausfall – sei es durch einen Angriff oder einen technischen Defekt? Per Risikoanalyse lassen sich hier die Gefahren und Bedrohungen evaluieren.

Und schließlich die Fragen: Welche Kosten zieht ein Ausfall nach sich? Was kostet eine vollständige oder teilweise Wiederinbetriebnahme nach Ausfall? Ausgehend von den als unternehmenskritisch identifizierten Geschäftsprozessen sollte man die Kosten grob quantifizieren, die Ausfallzeiten nach sich ziehen. Dabei ist auch die Dauer von Notfall-Management- und Disaster-Recovery-Maßnahmen zu beachten. Was kostet die umfassende Sicherung aller relevanten Systeme? Vor jeder Investition in die IT-Sicherheit sollte ein Unternehmen immer eine detaillierte Kostenbetrachtung anstellen. Dabei gilt es, Aufwand und Nutzen in Relation zu setzen.

Relevante Anbieter


  1. Sicherheit in geordneten Bahnen
  2. Lösungen, Verantwortlichkeiten und Mitarbeiter

Verwandte Artikel

CGI (Germany) GmbH & Co. KG

Security-Management

DDoS