Wird schon schief gehen

Das wird es sicher, denn ein gewachsenes Sicherheitsbewusstsein allein ist nicht ausreichend. IT-Sicherheit muss, wie die IT-Systeme selbst, integraler Bestandteil des Geschäftsalltags sein. Viele Unternehmen investieren zwar in ihre EDV, da diese ihre Tätigkeiten direkt unterstützt, Datenschutz jedoch gehört nicht zum eigentlichen Geschäft und wird als Kostenverursacher oft und gerne vernachlässigt. Eine solche Vorgehensweise ist sehr kurzsichtig. Selbst in den teuersten Servern gehen Festplatten kaputt, Anwender öffnen trotz aller Ermahnungen virenverseuchte E-Mails und neben Millionen gelangweilter Computerkids, die sich an Ihrem Internet-Zugangssystem messen wollen, gibt es richtig böse Jungs, die vielleicht gerade auf Ihrem mit dem Internet verbunden Rechner mit illegalen Angeboten handeln.

Eine teuer angeschaffte EDV ohne Wartungs-, Backup- oder Notfallkonzept ist im Katastrophenfall nichts mehr wert. Niemand weiß, was zu tun ist, welche Daten verschwunden sind oder wie lange es dauert, bis die vollständige Verfügbarkeit wiederhergestellt ist. Heulen hilft nicht! Stattdessen lässt sich das hohe Risiko des Image- und Vertrauensverlustes, der Unzufriedenheit von Kunden und Mitarbeitern sowie von Kosten durch Bußgeld-, Straf- und Schadensersatzverfahren durch Datenverlust oder -missbrauch, durch angemessene Maßnahmen erheblich reduzieren


Die größten Schadensverursacher sind:
  • Viren und Würmer
  • Irrtum oder Nachlässigkeit
  • Mangelhafte Software
  • Spionage
  • Hacker-Angriffe


Leere Taschen

Umfrageergebnisse belegen das gewachsene Sicherheitsbewusstsein, zeigen jedoch auch, dass die Umsetzung oft an rigorosen Sparplänen und Kürzungen scheitert. Die Folgen dieser "Augen zu und durch"-Taktik zeigen die aktuellen Ereignisse, wie das Aufdecken der eklatanten Sicherheitsmängel bei der Online-Vertragsverwaltung der Telekom oder die MyDoom-Attacke, welche die großen Suchmaschinen für einige Zeit lahm legte.

 

 

Mein Name ist Hase

Als ob es nicht schon schlimm genug wäre, wenn der Geschäftsbetrieb gestört ist oder steht. Es kann gut passieren, dass sich die Unternehmensleitung auch noch mit Haftungsansprüchen auseinandersetzen muss. Neben dem Aktiengesetz (§ 91 Abs. 2 und §93 Abs. 2 AktG), welches Vorstände zu einem Risikomanagement verpflichtet, der Sorgfaltspflicht des Geschäftsführers einer GmbH (§ 43 Abs. 1 GmbHG) und weiteren Gesetzen dieser Art, gibt es Sonderregelungen im Strafgesetzbuch, die sogar Freiheitsstrafen für bestimmte Berufsgruppen (Ärzte, Rechtsanwälte, ...) vorsehen, wenn vertrauliche Daten in die falschen Hände geraten. Deutsche Gerichte haben schon Präzedenzfälle geschaffen: den IT-Verantwortlichen wurde eine Mitschuld am Schaden zugesprochen, da die IT-Sicherheit im Unternehmen nicht dem Stand der Technik entsprach.

 

Safety First

Das Bundesministerium für Sicherheit in der Informationstechnologie (BSI) hat sich schon vor Jahren der komplexen Thematik gewidmet und mit dem IT-Grundschutz-Handbuch ein kostenlos verfügbares Werk geschaffen, welches Unternehmen als Basis für die Konzeption, Realisierung und Revision von Standard-Sicherheitsmaßnahmen verwenden dürfen.

Das Handbuch ist als nationaler und internationaler Standard für die sichere Einrichtung von Behörden und Unternehmensstrukturen etabliert und macht Organisationsvorschläge für die Aufstellung von Sicherheitsteams in kleinen, mittleren und großen Organisationen, die einem IT-Sicherheitsbeauftragten zuarbeiten. Ziel ist es, durch Standardmaßnahmen ein Mindestsicherheitsniveau für IT-Systeme zu erreichen, das auch für sensiblere Bereiche ausbaufähig ist. Die hierzu erforderlichen Maßnahmen und Vorgehensweisen zu deren Umsetzung sind detailliert beschrieben. Wer den beträchtlichen Aufwand zur Umsetzung des umfangreichen und komplexen IT-Grundschutzhandbuchs scheut, findet auf dem Dienstleistungssektor professionelle Hilfe bei IT-Support-Firmen die sich diesem Thema gewidmet haben.

 

Just do it

Im ersten Schritt wird die IT-Struktur anhand eines aktuellen Netzplans analysiert. Gleichartige oder ähnliche Systeme werden im zweiten Schritt zusammengefasst, um die Komplexität zu reduzieren. Als nächstes wird der Schutzbedarf der Zielobjekte festgelegt. Dazu muss abgeschätzt werden, welche Schadensauswirkung ein Systemausfall auf das Unternehmen hätte. Der Schutzbedarf reicht von "niedrig" für normale Systeme, die keine zentralen Funktionen erfüllen, bis "hoch", falls ein Ausfall katastrophale Auswirkungen für den Geschäftsbetrieb hat. Anschließend wird die Infrastruktur durch Zuordnung konkreter Gefährdungen aus dem Gefährdungskatalog modelliert.

Der Maßnahmenkatalog liefert die entsprechenden zu treffenden Maßnahmen. Nach der Modellierung ist der Basis-Check an der Reihe. Der Soll-Ist-Vergleich deckt eine unzureichende Umsetzung, der bei der Modellierung festgelegten Sicherheitsmaßnahmen auf. Außerdem stößt man auf Bereiche, in denen aufgrund erhöhten Schutzbedarfs, ergänzende Analysen durchzuführen sind, denn das Grundschutzhandbuch deckt mit seinem Maßnahmenkatalog nur den Schutz von Systemen mit niedrigem oder mittleren Schutzbedarf ab. Im letzten Schritt wird ein, mit Prioritäten versehener Realisierungsplan erstellt, der die konkrete Umsetzung der fehlenden Bausteine vorgibt. Ist diese Arbeit auch erledigt, gilt es das erreichte Niveau zu erhalten, indem die, durch das Modell vorgegebenen administrativen Tätigkeiten regelmäßig durchgeführt werden. Ein monatlicher Report dient zur Kontrolle und zur Berichterstattung gegenüber der Geschäftsführung, denn diese muss im Falle eines Ungemachs den Kopf hinhalten und kann dann hoffentlich die Einhaltung der vorgeschrieben Sicherheitsmaßnahmen belegen.

 

Zoran Lorencic

zurück