Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

Die ideale IT-Abteilung/Experten empfehlen Organisation auf drei Ebenen


01.08.2003 - 

Sicherheit braucht Koordination

Angesichts der zunehmenden Öffnung der Firmen-IT für externe Zugriffe genügt es nicht mehr, das Thema Security auf Design und Betrieb der abteilungs- oder hausinternen Netze zu begrenzen. Da die IT-Welten der Unternehmen und ihrer Kunden, Partner und Lieferanten zunehmend miteinander verschmelzen, lässt sich Sicherheit nur in inner- und überbetrieblicher Kooperation erreichen.Von Andrea Schäffter*

Es gibt unterschiedliche Gründe, die firmeneigene IT-Sicherheitsorganisation auf den Prüfstand zu stellen. Einer der wichtigsten ist die zunehmende Abhängigkeit vieler Unternehmen von einer funktionsfähigen und verlässlichen Kommunikations- und Informationstechnik. Darüber hinaus gilt es, rechtliche Vorgaben sowie eventuelle vertragliche Vereinbarungen mit Geschäftspartnern zu berücksichtigen.

Unzulänglichkeiten in Sachen IT gefährden nicht mehr nur das einzelne Unternehmen - die Wirtschaft als Ganzes kann durch gezielte Angriffe aus dem Ruder geraten. Längst hat der Gesetzgeber auf die zunehmende zwischenbetriebliche Vernetzung reagiert - etwa in Form der Novellierung des Bundesdatenschutzgesetzes (BDSG) sowie von Aktiengesetz (AktG) und Handelsgesetzbuch (HGB) im Rahmen des Gesetzes für Kontrolle und Transparenz in Unternehmen (KonTraG).

Erst der Blick auf die gesamte IT-Landschaft ermöglicht es, Bedrohungen frühzeitig zu erkennen und eventuellen Schaden zu begrenzen. Hierzu muss man das individuelle Risiko, die vorhandenen Sicherheitssysteme und deren Schnittstellen genau kennen. Ein diesbezüglich koordiniertes Vorgehen erfordert die Zusammenarbeit der einzelnen Fachabteilungen. Jedoch nur eine von der Geschäftsleitung klar formulierte Zielvorgabe führt zu einer guten Kooperation und letztendlich zu einer erfolgreichen Sicherheitsorganisation im Unternehmen.

Was zu tun ist

Oft genügt bereits eine bessere Steuerung der internen Ressourcen und eine exakte Abgrenzung der Arbeitsfelder. Die häufigsten Schwachstellen im IT-Sicherheits-Management sind:

- Keine in der Aufbauorganisation verankerte Sicherheitsorganisation,

- kein Risiko-Management, fehlende Notfallpläne (Intrusion Detection),

- keine defensiven organisatorischen Maßnahmen (Vulnerability-Management),

- ein trügerisches Gefühl der Sicherheit aufgrund falscher Maßstäbe und Tools,

- Nachlässigkeiten im Regelbetrieb (etwa mangelndes Patch-Management).

Die häufigsten Folgen sind:

- Störung des Produktions- und Betriebsablaufs bis hin zum Stillstand,

- Verlust von Informationsvorsprung und Wettbewerbsvorteilen,

- Schädigung der Firma, von Vertragspartnern oder Dritten,

- kein kontinuierlicher Optimierungsprozess.

Besteht kein Notfallplan, kommt es häufig zu überstürzten und hektischen Handlungen: Nicht selten verursachen Panikreaktionen einen unnötigen Systemstillstand, der Imageschäden und Wettbewerbsnachteile nach sich ziehen kann. Ohne ausgereifte, in Trockenübungen erprobte Notfallpläne nutzen die besten technischen Schutzsysteme nichts.

Interne oder externe Kontrolle?

Die Etablierung einer Sicherheitsorganisation ist der erste Schritt zum erfolgreichen Sicherheits-Management. Mit ihr steht und fällt das Sicherheitsniveau des gesamten Unternehmens. Eine erfolgreiche IT-Sicherheitsorganisation besteht aus den drei folgenden Elementen:

-Die Sicherheitsverantwortung: Sie liegt entweder beim Vorstand (per Gesetz), oder wird von diesem einschließlich der erforderlichen Kompetenzen an einen "Security-Officer" delegiert.

-Eine zentrale Koordinationsstelle für IT-Sicherheit: Sie fungiert als mit der erforderlichen Fachkompetenz ausgestatteter Dienstleister innerhalb der IT-Organisation.

-Eine interne oder externe Kontrollinstanz: Sie gleicht die bestehenden Sicherheitsvorkehrungen mit dem Soll ab und legt die Ergebnisse dem Vorstand und Security-Officer vor.

Die Bündelung der IT-Sicherheitskoordination an einer zentralen Stelle darf dabei nicht zur Alibifunktion verkommen. Aufgabe dieser Zentralstelle ist es vielmehr, Security als Qualitätsmerkmal der IT-Organisation und -Systeme zu propagieren und zu steuern. Die Verantwortung für die Umsetzung der sicherheitsrelevanten Ziele sollte in jedem Fall bei den Projekt-, System- und Betriebsverantwortlichen verbleiben. Die zentrale Sicherheits-Koordinierungsstelle fungiert idealerweise als Dienstleister innerhalb der IT-Organisation.

Da Sicherheit ein Merkmal ist, das sich lediglich durch "Nichtauftreten" von Schadensfällen beziehungsweise durch effizientes und zielgerichtetes Handeln im Krisenfall identifizieren lässt, ist der Aufbau eines Kontroll- und Berichtssystems (an Vorstand und SecurityOfficer) dringend erforderlich.

Im Laufe der Jahre haben sich Security-Standards etabliert, die sich mit der Gestaltung einer IT-Sicherheitsorganisation beschäftigen. Das Sicherheits-Management eines Unternehmens kann sogar mit einem Gütesiegel versehen werden. Innerhalb Deutschlands nimmt das Bundesamt für Sicherheit in der Informationstechnik (BSI) Zertifizierungen eines IT-Verbunds nach dem Grundschutzhandbuch (GSHB) vor - wobei es sich bei einem IT-Verbund um eine einzelne Anwendung oder um die komplette IT einer Firma handeln kann. Ein in Europa agierendes Unternehmen wird jedoch eher eine Zertifizierung nach dem ISO-Standard 17799 anstreben.

Zertifizierungsprozess als Orientierung

Im Gegensatz zum GSHB befasst sich der ISO/IEC-17799-Standard hauptsächlich mit dem Aufbau eines IT-Sicherheits-Managements und seiner Verankerung in der Organisation. Anders als im IT-Grundschutzhandbuch finden sich hier keine detaillierten Umsetzungshinweise, sondern übergreifende Anforderungen. Nicht jedes Unternehmen wird gleich den aufwändigen Zertifizierungsprozess durchlaufen wollen. Es lohnt sich aber, sich an den Vorgaben dieser Gremien zu orientieren - erstens, um das Rad nicht neu zu erfinden, und zweitens, um den Aufwand im Falle eines späteren Zertifizierungswunsches gering zu halten. (kf)

*Andrea Schäffter ist Consultant bei der Secaron AG in Hallbergmoos.

Angeklickt

Ist das Bewusstsein für die IT-Sicherheit im Unternehmen erst einmal geweckt und die Teilnahme aller Mitarbeiter von oberster Stelle eingefordert, kann auch eine kleine Organisationseinheit für die IT-Sicherheit innerhalb kurzer Zeit einen dem Firmengeschäftsmodell angemessenen Security-Standard etablieren und aufrechterhalten. Optimale Gestaltung und Schnittstellen-Definition hängen stark von der Größe des Betriebs und der dort gelebten Kultur ab.

IT-Sicherheitsstandards

CoBiT

Control Objectives for Information and related Technology

IT Governance Institute:

www.isaca.org/cobit.htm

BS7799

Information Security Management

British Standard Institution:

www.bsi-global.com

ISO 17799

Entspricht Teil 1 des BS7799

IT-GSHB

Grundschutzhandbuch für den mittleren Schutzbedarf

Bundesamt für Sicherheit in der Informationstechnik:

www.bsi.de/gshb

Das Grundschutzzertifikat bestätigt auch die Erfüllung von ISO 17799.