Kaum ein anderer Bereich der Informationstechnik ist derzeit mehr im Gespräch als die IT-Sicherheit - aber auch kein anderer Bereich wird mehr bagatellisiert, indem das Problem immer wieder auf die medienträchtigen Gefahren wie Viren, Trojaner und Co. reduziert wird.
IT-Sicherheit kostet Geld, ohne den Unternehmen einen unmittelbar fassbaren Nutzen zu bringen. Das führt dazu, dass die Beschäftigung mit diesem Thema vor allem bei kleinen und mittleren Betrieben nur Alibi-Charakter hat. Dabei stellen viele mittelständische Unternehmen Spitzenprodukte her und sind häufig Marktführer in ihrem Segment. Der Schutz des erarbeiteten Marktvorsprungs durch entsprechende Sicherheitskonzepte wird aber vernachlässigt.
Jedoch verpflichten schon seit einiger Zeit auch rechtliche Vorschriften die Unternehmensleitungen zu Maßnahmen, um operationelle Risiken zu minimieren (z.B. Gesetz zur Kontrolle und Transparenz im Unternehmensbereich KonTraG; GmbH-Gesetz).
Wichtig ist dieses Thema zunehmend bei der Kreditvergabe: Beim Rating nach Basel II werden Sicherheitsfragen mit bewertet.
Wenn sich also in Unternehmen die Informationstechnik von der „besseren Schreibmaschine“ zum Produktionsfaktor gewandelt hat (und in den meisten Betrieben ist dies mittlerweile der Fall), dann muss diesem Umstand auch hinsichtlich Risikominimierung Rechnung getragen werden. Dies ist im ureigensten Interesse des Betriebes und gilt nicht nur, um Gesetzen Genüge zu tun. Und wahrscheinlich wird in Zukunft eine sichere Informationstechnik sogar eine unverzichtbare Vertrauensbasis im Verhältnis zwischen Kunden, Lieferanten und Partnern. Sichere Informationstechnik quasi als echter Qualitätsfaktor und zunehmend auch als Wettbewerbsvorteil.
Was gilt es also zu tun?
Es bedarf einer strukturierten IT-Sicherheitskonzeption, wobei die IT-Sicherheit alle technischen und organisatorischen Maßnahmen umfasst, um Informationen vor Verlust und Verfälschung zu schützen und eine Störung des laufenden Betriebes zu verhindern. Darüber hinaus ist IT-Sicherheit unabdingbare Voraussetzung für einen adäquaten Datenschutz.
Gefahren gibt es viele. Im Grundschutzhandbuch des Bundesamtes für Sicherheit in der Informationstechnik (BSI) sind alleine fünf Kataloge mit 333 möglichen Gefahrenquellen aufgeführt. Für die meisten Unternehmen ist davon sicher nur ein Teil relevant, aber welcher? Schon aus finanziellen Gründen muss das Ziel lauten, soviel Sicherheit wie nötig, so wenig Aufwand wie möglich. Das BSI wurde angesichts der zunehmenden Gefahren und Risiken der Informationsverarbeitung im Jahre 1991 gegründet und hatte zunächst die Aufgabe, die Sicherheitsrisiken von IT-Anwendungen zu beleuchten und Sicherheitsvorkehrungen zu entwickeln. Damit sollte und soll Vertrauen für die Informations- und Kommunikationstechnik geschaffen werden. Darüber hinaus entwickelte das BSI zur Absicherung von Unternehmen und Behörden das so genannte Grundschutzhandbuch. Ziel des Grundschutzhandbuches (GSHB) ist es, den sonst üblichen Aufwand bei Sicherheitskonzeptionen zu minimieren, indem in Teilbereichen auf die sonst üblichen und aufwändigen Risikoanalysen verzichtet und statt dessen auf vom BSI voranalysierte Gefährdungsszenarien und Gegenmaßnahmen zurückgegriffen werden kann. Eine Art Baukastenprinzip.
Zentraler Punkt ist dabei die Schutzbedarfsfeststellung, die korrespondierend mit dem Gefährdungskatalog die unternehmensspezifisch notwendigen Maßnahmen definiert. Dabei werden nur die Bausteine herangezogen, die für den jeweils zu schützenden Bereich wirklich notwendig sind. Seit dem Jahre 2000 ist es auch möglich, die Umsetzung der Maßnahmen nach dem Grundschutzhandbuch durch vom BSI lizenzierte Sicherheitsauditoren zertifizieren zu lassen. Dabei handelt es sich um das derzeit einzige IT-Sicherheitszertifikat in Deutschland, mit dem die Solidität eines Unternehmens hinsichtlich IT-Sicherheit gegenüber Kunden, Partnern, Banken etc. nachgewiesen werden kann.
Die Entwicklung und die Umsetzung einer kompletten Sicherheitsstruktur für ein mittelständisches Unternehmen, das bisher über keine oder nur wenige Sicherheitsvorkehrungen verfügt, ist sicher eine Herausforderung, aber auch die ideale Aufgabe für einen Generalisten. Das BSI-Grundschutzhandbuch bietet dabei eine ideale Unterstützung, um nicht Gefahr zu laufen, den Wald vor lauter Bäumen zu übersehen.
Bei aller Technik darf dabei natürlich eines nicht vergessen werden, der Faktor Mensch! Was nützt die schönste Firewall, wenn die Anwender immer noch ihr Passwort unter die Tastatur kleben! Ohne die Akzeptanz von Sicherheitsmaßnahmen in der Belegschaft bleibt jede noch so gute Schutzvorkehrung ohne Wirkung. Auch diese übergeordneten Aspekte berücksichtigt das BSI-Grundschutzhandbuch.
Letztendlich ist damit ein wichtiger Teil einer jeden Sicherheitskonzeption auch die Kunst, praktikable Sicherheitsregeln zu schaffen, deren Anwendung den Mitarbeitern einsichtig gemacht werden kann. Denn nur Regeln, die akzeptiert und auch gelebt werden, tragen zur Erhöhung des Sicherheitsniveaus im Betrieb bei und bewirken eine Verbesserung der Durchhalte- und Überlebensfähigkeit eines Unternehmens. Und um Illusionen vorzubeugen: IT-Sicherheit ist kein Projekt im üblichen Sinne und schon gar nicht eine einmalige Angelegenheit. Genau genommen dauert ein IT-Sicherheitsprojekt solange, wie die Unternehmung besteht, zu deren Sicherheit das Projekt beizutragen hat.
IT-Sicherheit kostet Geld, ohne den Unternehmen einen unmittelbar fassbaren Nutzen zu bringen. Das führt dazu, dass die Beschäftigung mit diesem Thema vor allem bei kleinen und mittleren Betrieben nur Alibi-Charakter hat. Dabei stellen viele mittelständische Unternehmen Spitzenprodukte her und sind häufig Marktführer in ihrem Segment. Der Schutz des erarbeiteten Marktvorsprungs durch entsprechende Sicherheitskonzepte wird aber vernachlässigt.
Jedoch verpflichten schon seit einiger Zeit auch rechtliche Vorschriften die Unternehmensleitungen zu Maßnahmen, um operationelle Risiken zu minimieren (z.B. Gesetz zur Kontrolle und Transparenz im Unternehmensbereich KonTraG; GmbH-Gesetz).
Wichtig ist dieses Thema zunehmend bei der Kreditvergabe: Beim Rating nach Basel II werden Sicherheitsfragen mit bewertet.
Wenn sich also in Unternehmen die Informationstechnik von der „besseren Schreibmaschine“ zum Produktionsfaktor gewandelt hat (und in den meisten Betrieben ist dies mittlerweile der Fall), dann muss diesem Umstand auch hinsichtlich Risikominimierung Rechnung getragen werden. Dies ist im ureigensten Interesse des Betriebes und gilt nicht nur, um Gesetzen Genüge zu tun. Und wahrscheinlich wird in Zukunft eine sichere Informationstechnik sogar eine unverzichtbare Vertrauensbasis im Verhältnis zwischen Kunden, Lieferanten und Partnern. Sichere Informationstechnik quasi als echter Qualitätsfaktor und zunehmend auch als Wettbewerbsvorteil.
Was gilt es also zu tun?
Es bedarf einer strukturierten IT-Sicherheitskonzeption, wobei die IT-Sicherheit alle technischen und organisatorischen Maßnahmen umfasst, um Informationen vor Verlust und Verfälschung zu schützen und eine Störung des laufenden Betriebes zu verhindern. Darüber hinaus ist IT-Sicherheit unabdingbare Voraussetzung für einen adäquaten Datenschutz.
Gefahren gibt es viele. Im Grundschutzhandbuch des Bundesamtes für Sicherheit in der Informationstechnik (BSI) sind alleine fünf Kataloge mit 333 möglichen Gefahrenquellen aufgeführt. Für die meisten Unternehmen ist davon sicher nur ein Teil relevant, aber welcher? Schon aus finanziellen Gründen muss das Ziel lauten, soviel Sicherheit wie nötig, so wenig Aufwand wie möglich. Das BSI wurde angesichts der zunehmenden Gefahren und Risiken der Informationsverarbeitung im Jahre 1991 gegründet und hatte zunächst die Aufgabe, die Sicherheitsrisiken von IT-Anwendungen zu beleuchten und Sicherheitsvorkehrungen zu entwickeln. Damit sollte und soll Vertrauen für die Informations- und Kommunikationstechnik geschaffen werden. Darüber hinaus entwickelte das BSI zur Absicherung von Unternehmen und Behörden das so genannte Grundschutzhandbuch. Ziel des Grundschutzhandbuches (GSHB) ist es, den sonst üblichen Aufwand bei Sicherheitskonzeptionen zu minimieren, indem in Teilbereichen auf die sonst üblichen und aufwändigen Risikoanalysen verzichtet und statt dessen auf vom BSI voranalysierte Gefährdungsszenarien und Gegenmaßnahmen zurückgegriffen werden kann. Eine Art Baukastenprinzip.
Zentraler Punkt ist dabei die Schutzbedarfsfeststellung, die korrespondierend mit dem Gefährdungskatalog die unternehmensspezifisch notwendigen Maßnahmen definiert. Dabei werden nur die Bausteine herangezogen, die für den jeweils zu schützenden Bereich wirklich notwendig sind. Seit dem Jahre 2000 ist es auch möglich, die Umsetzung der Maßnahmen nach dem Grundschutzhandbuch durch vom BSI lizenzierte Sicherheitsauditoren zertifizieren zu lassen. Dabei handelt es sich um das derzeit einzige IT-Sicherheitszertifikat in Deutschland, mit dem die Solidität eines Unternehmens hinsichtlich IT-Sicherheit gegenüber Kunden, Partnern, Banken etc. nachgewiesen werden kann.
Die Entwicklung und die Umsetzung einer kompletten Sicherheitsstruktur für ein mittelständisches Unternehmen, das bisher über keine oder nur wenige Sicherheitsvorkehrungen verfügt, ist sicher eine Herausforderung, aber auch die ideale Aufgabe für einen Generalisten. Das BSI-Grundschutzhandbuch bietet dabei eine ideale Unterstützung, um nicht Gefahr zu laufen, den Wald vor lauter Bäumen zu übersehen.
Bei aller Technik darf dabei natürlich eines nicht vergessen werden, der Faktor Mensch! Was nützt die schönste Firewall, wenn die Anwender immer noch ihr Passwort unter die Tastatur kleben! Ohne die Akzeptanz von Sicherheitsmaßnahmen in der Belegschaft bleibt jede noch so gute Schutzvorkehrung ohne Wirkung. Auch diese übergeordneten Aspekte berücksichtigt das BSI-Grundschutzhandbuch.
Letztendlich ist damit ein wichtiger Teil einer jeden Sicherheitskonzeption auch die Kunst, praktikable Sicherheitsregeln zu schaffen, deren Anwendung den Mitarbeitern einsichtig gemacht werden kann. Denn nur Regeln, die akzeptiert und auch gelebt werden, tragen zur Erhöhung des Sicherheitsniveaus im Betrieb bei und bewirken eine Verbesserung der Durchhalte- und Überlebensfähigkeit eines Unternehmens. Und um Illusionen vorzubeugen: IT-Sicherheit ist kein Projekt im üblichen Sinne und schon gar nicht eine einmalige Angelegenheit. Genau genommen dauert ein IT-Sicherheitsprojekt solange, wie die Unternehmung besteht, zu deren Sicherheit das Projekt beizutragen hat.
Externer Kontakt: Horst Pittner/Norbert Rauch (lizenzierte Sicherheitsauditoren des BSI), norbert.rauch@atarax.de
