© saicle/Shutterstock.com
IT-Security als Business-Enabler

Sicher und wandelbar


Cloud Computing, Big Data und das Internet of Things schaffen Chancen, machen aber auch anfälliger für Cyberangriffe. Für Unternehmen hängt der künftige Geschäftserfolg deshalb auch von der richtigen IT-Security-Strategie ab. Bei deren Umsetzung lassen sich hohe Kos­ten für den Einzelnen vermeiden, indem das Know-how übergreifend zusammengelegt wird.

Während sich die digitale Transformation in unserer Gesellschaft disruptiv ausbreitet, bieten nicht nur Trends wie die angestrebte Mass Customization durch Industrie 4.0 oder die Neukonfiguration von Produkten und Dienstleistungen Erfolgschancen für Unternehmen. Auch der richtige Umgang mit IT-Security-Fragen leistet einen entscheidenden Beitrag, um sich auf dem Markt der digitalen Geschäftsmodelle behaupten zu können: Zielgerichtete Cyberattacken auf vernetzte Systeme bedrohen heute weltweit nahezu alle Unternehmen, Banken, öffentliche Einrichtungen und Behörden. Wer in der Lage ist, diese Angriffe durch Prävention proaktiv zu neutralisieren und im Krisenfall schnell und richtig zu reagieren, kann effektiv Zeit und Kosten sparen, sich vor Negativschlagzeilen in der Presse schützen und seine Existenz sichern.

Unternehmen und Behörden werden bereits durch den Gesetzgeber ausgiebig aufgefordert, ein funktionierendes Sicherheitskonzept zu etablieren. So verpflichtet unter anderem die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zur sicheren Verarbeitung personenbezogener Daten unter Berücksichtigung des aktuellen Stands der Technik. Entsprechend fordert das Telemediengesetz (TMG) Anbieter von Telediensten zu technischen und organisatorischen Vorkehrungen auf, um einen adäquaten Datenschutz zu gewährleisten. Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG), das die Vorschriften des Handelsgesetzbuchs und des Aktiengesetzes präzisiert, schreibt ein dediziertes Risikomanagement inklusive Frühwarnsystem vor. Nicht zuletzt definiert das 2015 in Kraft getretene IT-Sicherheitsgesetz die zu erfüllenden Mindeststandards für Einrichtungen kritischer Infrastrukturen und deren Meldepflicht zu relevanten Vorfällen an das BSI.

Sicherheit ist Chefsache

Der nachhaltige Schutz von Geschäftsprozessen und Informationen, wie sie der Gesetzgeber und die Wirtschaftsverbände vorschreiben, ist eine zentrale Aufgabe der Unternehmensführung. Unterstützt von einem Informationsschutzbeauftragten, muss sich diese frühzeitig um die Bedarfsermittlung kümmern, eine ganzheitliche IT-Sicherheitsstrategie aufsetzen, entsprechend investieren und damit den Zielkorridor festlegen. Eine Strategie sollte stabil sein, nicht täglich geändert werden, aber auch nicht auf Unendlichkeit angelegt sein. Projekt- und Bereichsleiter tragen Verantwortung für die von ihnen eingegangenen Sicherheitsrisiken und treffen, sofern erforderlich, notwendige Schutzmaßnahmen. Über diese ist der jeweilige Verantwortungsbereich sorgfältig zu unterrichten. Eine saubere Dokumentation dient als Nachschlagewerk, und regelmäßige Kontrollen stellen sicher, dass Mitarbeiter und Geschäftspartner gleichermaßen die Vorgaben einhalten und anwenden. Schließlich geht ein Großteil der heutigen Sicherheitsvorfälle auf nachlässige Beschäftigte zurück, die mit ihrer Verhaltensweise den ausgefeilten Techniken des Social Engineerings, insbesondere des Phishings, zum Opfer fallen und unbedarft vertrauliche Informationen aus ihrem Umfeld preisgeben. Dieser Vorgang kann meist als Speerspitze eines groß angelegten Hackerangriffs betrachtet werden. Mit dem Aufkommen von Drive-by Exploits reicht der Besuch einer präparierten Webseite ohne weitere Nutzerinteraktion aus, um das Endgerät mit Malware zu infizieren. Deshalb wird bereits durch die Kultivierung eines sicherheitstechnischen Bewusstseins ein wichtiger Grundstein zur Abwehr gezielter Securitybrüche gelegt.

Security Engineering aufbauen

Die konkrete Formulierung der Sicherheitsanforderungen geschieht in einer umfassenden Planungsphase, in der das zu schützende System anhand eines Netztopologieplans mit seinen funktionalen Eigenschaften im spezifischen Einsatzgebiet den stets aktuellen Bedrohungen und Risiken gegenübergestellt wird. Die daraus resultierenden Maßnahmen, Dienste und Protokolle sind nach deren Einführung regelmäßig zu überprüfen und anzupassen. Nur ein kontinuierlicher Validierungs- und Überarbeitungsprozess in einem geordneten Regelkreis kann die dem technologischen Wandel unterliegende Securitystrategie auf dem geforderten Niveau aufrechterhalten. Sie darf die Kernprozesse im Unternehmen nicht behindern und sollte deshalb nach dem Prinzip der Wirtschaftlichkeit in die Organisation eingegliedert werden. Knappe Budgets, Fachpersonalmangel sowie die wachsende Zahl ständig neuer Sicherheitsbedrohungen und -anforderungen lassen sich in vielen Fällen bereits durch eine methodische Vorgehensweise ausgleichen.

Der Grundschutzkatalog des Bundesamts für Sicherheit in der Informationstechnik bietet eine Anleitung für den modularen Aufbau eines Informationssicherheitsmanagementsystems (ISMS) – angefangen von der Strukturanalyse und der Schutzbedarfsfeststellung über die Modellierung der Strategie und die Durchführung von Basissicherheitschecks bis hin zur Empfehlung und Umsetzung der Maßnahmen. Prozesse, Ressourcen und die Organisation werden dabei in einen hierarchischen Aufbau integriert, Maßnahmen in die Lebenszyklen der jeweiligen Systeme und Anwendungen eingebunden und die IT-Sicherheit fortlaufend weiterentwickelt [1]. Das angestrebte Ziel nach der Realisierung sollte die Zertifizierung nach ISO 27001 sein. Damit lässt sich auch das gewünschte Vertrauen der Kunden und Geschäftspartner in das eingeführte ISMS gewinnen.

Schutzbedarfsanalysen durchführen

Die Schutzbe...

Neugierig geworden?

Angebote für Teams

Für Firmen haben wir individuelle Teamlizenzen. Wir erstellen Ihnen gerne ein passendes Angebot.

Das Library-Modell:
IP-Zugang

Das Company-Modell:
Domain-Zugang