Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

26.03.2004 - 

Warum eine Risikoanalyse immer wichtiger wird

IT-Systeme müssen sicher sein - und offen

Die Öffnung der IT-Systeme für Kunden und Partnerunternehmen erhöht das Sicherheitsrisiko. Deshalb muss der CIO beziehungsweise der Chief Security Officer (CSO) den Nutzen einer offenen IT den Kosten der zusätzlich erforderlichen Schutzmaßnahmen gegenüberstellen.Von Markus Schäffter*

Das Paradigma von der maximalen Abschottung der IT-Systeme nach außen ist überholt. Die neuen Geschäftsmodelle beziehen Kunden, Partner und Lieferanten zunehmend in die eigenen Geschäftsprozesse ein. Diese Entwicklung geht mit einer selektiven Öffnung der internen IT-Systeme einher. Beispiele dafür sind der elektronische Datenaustausch über Electronic Data Interchange (EDI) und Internet-Portale.

Die neuen Möglichkeiten des Informationsaustausches bringen nie gekannte Risiken mit sich: Die Sicherheit der internen IT-Systeme hängt plötzlich von den Kunden-, Partner- und Lieferantensystemen ab. Verschärft wird diese Entwicklung dadurch, dass sich die Kommunikation zwischen modernen IT-Applikationen durch herkömmliche Firewall-Systeme nur noch auf der Netzwerkebene kontrollieren lässt. Die erforderliche Datenflusskontrolle verlagert sich auf die nachgelagerten Applikations-Server - zumindest dann, wenn nicht spezielle Applikations-Firewalls eingesetzt werden.

Die IT-Verantwortlichen haben die Öffnung der internen Anwendungen für den Zugriff von außen selten zu verantworten. Aber mit den Konsequenzen sind sie direkt konfrontiert. Wie im "richtigen Leben" gibt es auch in der Informations- und Kommunikationstechnik keine hundertprozentige Sicherheit. Die Restrisiken müssen jedoch auf ein tolerierbares Maß gebracht werden.

Risikoanalysen helfen, das aktuelle Gefährdungspotenzial zu bestimmen sowie fachlich geeignete und wirtschaftlich angemessene Maßnahmen zur Risikoreduktion auszuwählen. Dabei muss die Analyse alle Ebenen der IT-Sicherheitsorganisation berücksichtigen - von der Leitlinie der Geschäftsführung über die existierenden Konzepte und Richtlinien bis zu konkreten Handlungsanweisungen und Betriebshandbüchern. Bei der Planung und Handhabung einer IT-Risikoanalyse helfen international anerkannte Sicherheitskataloge (siehe Kasten "IT-Sicherheitskataloge").

Die gängigen Verfahren beginnen mit einer Beschreibung des Untersuchungsgegenstands und einer Auflistung der zu schützenden Werte. Die Untersuchungsgegenstände reichen von einzelnen IT-Anwendungen über Internet-Portale bis zu komplexen Geschäftsprozessen. Die gesamte IT-Landschaft einer Untersuchung zu unterziehen wäre zu aufwändig. Die Wertverzeichnisse umfassen Gebäudetechnik, Hard- und Software sowie geschäftskritische Informationen (beispielsweise über Forschungs- und Entwicklungsergebnisse, Preise, Marketing-Strategien und Kundendaten), aber auch immaterielle Werte wie Kundenvertrauen und Gesetzeskonformität des IT-Betriebs.

Aus dem Schutzbedarf der einzelnen Werte ergeben sich direkt die allgemeinen Ziele wie Verfügbarkeit, Vertraulichkeit, Integrität, Nachweisbarkeit oder Rechtskonformität. Um die Wirksamkeit vorhandener Schutzmaßnahmen zu bewerten und eventuelle Lücken aufzuzeigen, empfiehlt es sich, Gefährdungsszenarien zu entwerfen und sie mit einer Schwachstellenanalyse zu verbinden.

Die Ziele der Analyse

Die IT-Risikoanalyse zielt beispielsweise darauf ab,

- die Abhängigkeit der wichtigsten Geschäftsprozesse von der Informations- und Kommunikationstechnik zu ermitteln,

- die zehn wichtigsten Anwendungen im Hause zu bestimmen,

- die Eignung der vorhandenen Schutzmaßnahmen zu bewerten,

- eine Kosten-Nutzen-Analyse für neue Schutzmaßnahmen vorzunehmen,

- die Auswirkungen von Störungen, Systemausfällen oder Datenverlust auf den Tagesbetrieb zu simulieren,

- die Konsequenzen von Unternehmensportalen (B-to-B, B-to-C und B-to-E) für die IT-Sicherheit zu untersuchen und

- die Service-Level-Agreements (SLAs) auf Vollständigkeit zu überprüfen.

Kurz gesagt, sie kann nicht nur vorhandene Schwachstellen aufzeigen, sondern auch die Folgen neuer IT-Anwendungen und Schnittstellen simulieren.

Je genauer die zu schützenden Werte bekannt sind, desto zielgerichteter lässt sich in deren Schutz investieren. Dabei konkurrieren Aufwände für die IT-Sicherheit grundsätzlich mit anderen Möglichkeiten der Wertschöpfung wie Forschung und Entwicklung, Marketing oder Preiskalkulation. Die Geschäftsführung von der Notwendigkeit der Security-Ausgaben zu überzeugen ist die Aufgabe von CIO und CSO. Das ist umso wichtiger, je mehr ein Unternehmen sein Wachstum "außerhalb der eigenen IT-Firewall" sieht. Die beschriebene IT-Risikoanalyse kann hier auch als Argumentationshilfe dienen. (qua)

*Dr. Markus Schäffter ist Senior Partner und Consultant beim Beratungsunternehmen Secaron AG, Halllbergmoos.

IT-Sicherheitskataloge

- ISO/BS 1779-1: IT-Sicherheits-Management,

- ISO/TR 13335-3: IT-Risiko-Management,

- IT-GSHB (BSI): IT-Grundschutz,

- BS 7799-1: Code of Practise for IT Security Management