Bestandsaufnahme und Bedarfsanalyse für IT-Sicherheitskonzepte

Anhand von neun Sicherheitsbereichen können Sie Ihren aktuellen Sicherheitsstatus feststellen, Schutzlücken erkennen und auf dieser Basis ein IT-Sicherheitskonzept entwickeln.

IT-Sicherheit muss sein: Nicht nur in börsennotierten Unternehmen, sondern auch in GmbHs, AGs und anderen Kapitalgesellschaften sind Vorstände und Geschäftsführer für die IT-Sicherheit persönlich haftbar. Der Gesetzgeber schreibt außerdem die Rechtskonformität sämtlicher Unternehmensabläufe vor. Wichtigster Bestandteil ist dabei die" IT-Compliance", deren zentrales Element wiederum die IT-Sicherheit ist. Und dann sind da ja auch noch die Banken und die ISO-Zertifizierung, die auch angemessene IT-Sicherheitsvorkehrungen verlangen.

Die folgenden neun Sicherheitsbereiche behandeln die Sicherheitskriterien, die im IT-Grundschutzkatalog festgelegt sind, das vom Bundesamt für die Sicherheit in der Informationstechnik (BSI) herausgegeben und über das Internet kostenlos zur Verfügung gestellt wird (www.bsi.bund.de).

1. Sicherheitsmanagement

Im betrieblichen Umfeld ist das IT-Sicherheitsmanagement in jedem Fall Chefsache. Und dies nicht nur, weil das Thema Sicherheit von entscheidender Bedeutung für den Geschäftserfolg ist, sondern weil dies auch vom Gesetzgeber so vorgesehen ist. Natürlich müssen Geschäftsführer und Firmenleitung sich nicht persönlich um die Details der Umsetzung von Sicherheitskonzepten und Sicherheitsrichtlinien kümmern. Sie müssen aber den Rahmen dafür schaffen, Verantwortung übernehmen und qualifizierte Verantwortliche einsetzen und - in letzter Konsequenz- persönlich haften.

2. Allgemeine Sicherheitsaspekte und Verhalten in Notfällen

Es gibt eine ganze Reihe allgemeiner Sicherheitsaspekte, die bei jeder Art der Nutzung der vorhandenen Computer- und Kommunikationseinrichtungen berücksichtigt werden sollten. Da es sich dabei vor allem um die konkrete Umsetzung von Sicherheitsmaßnahmen handelt, sind hier neben der Geschäftsleitung auch alle IT-Verantwortlichen angesprochen. Schutzmechanismen und programminterne Sicherheitseinrichtungen, aber auch konkrete Handlungsanweisungen helfen dabei, Sicherheitsrisiken zu minimieren und Datensicherheit zu gewährleisten.

3. Sicherheitsbewusstsein

Die Aufrechterhaltung des Sicherheitsniveaus ist genauso wichtig wie die Einführung angemessener Sicherheitsmaßnahmen. Die besten Sicherheitseinrichtungen und -maßnahmen nützen aber überhaupt nichts, wenn diese nicht ein- und umgesetzt werden. Nur wenn Mitarbeiter positiv motiviert sind und einsehen, warum bestimmte Sicherheitsmaßnahmen sie einschränken oder von ihnen selbst immer wieder aktiv durchgeführt werden müssen, kann ein IT-Sicherheitskonzept auf Dauer erfolgreich umgesetzt werden.

4. Zugriffsschutz: Benutzernamen, Kennwörter und Verschlüsselung

Der Zugriffsschutz und die damit verbundene Zugriffskontrolle sind für die IT-Sicherheit ebenfalls von entscheidender Bedeutung. Benutzernamen, Passwörter, Kennwörter und Verschlüsselungsverfahren sorgen dafür, dass bestimmte elektronische Informationen nur von befugten Mitarbeitern eingesehen und tatsächlich vertraulich verwendet werden können. Um sicherzustellen, dass bestimmte IT-Komponenten und Daten auch noch dann zur Verfügung stehen, wenn bestimmte Mitarbeiter ausfallen oder für längere Zeit nicht erreichbar sind, sollten alle gültigen Kenn- und Passwörter außerdem hinterlegt und sicher verwahrt werden.

5. Internet und E-Mail

Internetanbindung und E-Mail-Kommunikation sind aus dem betrieblichen Alltag nicht mehr wegzudenken, stellen aber gleichzeitig eine große Sicherheitsbedrohung dar. Jeder Mitarbeiter, der im Internet surft und E-Mails versendet und empfängt, macht nicht nur seinen Arbeitsplatzrechner, sondern gleichzeitig auch das gesamte Computersystem, mit dem der Arbeitsplatzrechner verbunden ist, zum potenziellen Ziel von Viren und anderen Schadprogrammen und öffnet es für potenzielle Eindringlinge. Jede Art der Internetverbindung muss daher mit allen zur Verfügung stehenden Mitteln geschützt werden.

6. Datensicherung

Da auch die besten Sicherheitsmaßnahmen Naturkatastrophen, Brandschäden oder gezielten Vandalismus nicht ausschließen können, ist die regelmäßige Datensicherung immer noch eine unverzichtbare Risikovorsorge. Dazu gehört aber auch, dass Vorkehrungen dafür geschaffen werden, dass die gesicherten Daten außer Haus gelagert werden.

7. Drahtlose Netzwerkverbindungen (WLAN) und Hotspots

Drahtlose Verbindungen werden auch im betrieblichen Umfeld immer populärer. Die meisten neuen Notebooks sind bereits mit WLAN-Adaptern ausgestattet, und auch Desktop-PCs lassen sich mit einer WLAN-Einsteckkarte schnell und einfach so mobil machen, dass sie innerhalb des Firmengebäudes an beliebigen Plätzen eingesetzt werden können. Doch der Komfort hat seinen Preis: Drahtlose Verbindungen können sehr leicht abgehört werden und öffnen das System für potenzielle Eindringlinge. WLAN-Verbindungen aller Art - insbesondere auch Verbindungen zu öffentlichen Hotspots - müssen besonders sorgfältig geschützt werden. Dabei ist immer zu bedenken, dass die Angriffe aus sicherer Entfernung stattfinden, da die Funkwellen weder an Zimmer- noch an Grundstücksgrenzen Halt machen.

8. Software-Nutzung und Software-Updates

Der Umgang mit Software und vor allem mit Software-Updates ist auch ein äußerst wichtiges Sicherheitsthema. Ständige softwaretechnische Neuerungen und die Entdeckung immer neuer Sicherheitslücken machen es erforderlich, dass Anwendungsprogramme und Betriebssysteme immer wieder auf den neuesten Stand gebracht werden. Solange die Updates von zentral Verantwortlichen durchgeführt werden, klappt dies meistens gut. Anders ist es, wenn die Durchführung der Updates in den Händen der einzelnen Mitarbeiter liegt. Da diese die ständigen Update-Aufforderungen sehr schnell leid sind, werden Updates häufig nur noch sporadisch durchgeführt. Wie fatal dies sein kann, zeigt sich daran, dass fast alle Schäden, die durch aktuelle Würmer und Viren verursacht wurden, komplett hätten vermieden werden können, wenn nur die bereits vorliegenden Windows-Updates durchgeführt worden wären. Software, die unkontrolliert aus dem Internet heruntergeladen oder von zu Hause mitgebracht und auf betrieblichen PCs eingesetzt wird, stellt ebenfalls ein erhebliches Risiko dar, das es durch verbindliche Vereinbarungen einzudämmen gilt.

9. Schutzvorkehrungen und Schutzeinrichtungen

Dieser Sicherheitsbereich beschäftigt sich mit den Schutzmaßnahmen, die nur indirekt mit dem Computersystem und anderen vorhandenen IT-Einrichtungen zu tun haben. Dabei spielen auch Zugangskontrollen eine wichtige Rolle: Die Sicherheitsmaßnahmen, die gegen unbefugte Zugriffe auf das Computersystem über das Internet getroffen wurden, können ja höchst wirksam sein. Wenn aber jemand völlig unbemerkt und unbehelligt in ein Büro spazieren und einen kompletten Rechner entwenden kann, auf dem sich sicherheitsrelevante Daten befinden, nützt natürlich auch die beste Firewall nichts.

.