Sicherheitsmanagement für mittelständische Unternehmen

(PresseBox) (Hallbergmoos, )
Sicherheitsmanagement für mittelständische Unternehmen

Informationstechnik ist zu einer geschäftskritischen Schlüsseltechnologie in modernen Unternehmen geworden. Durch die Öffnung der unternehmensinternen Informations- und Kommunikationssysteme gewinnt der schnelle, direkte und zugleich sichere Datenaustausch mit Partnerunternehmen, Kunden und Lieferanten an Bedeutung.
Die Zukunft gehört daher einer hochflexiblen und systemübergreifenden Sicherheitsarchitektur, welche es ermöglicht, Teilnehmer sicher zu authentisieren, Daten gezielt zu verschlüsseln sowie die Urheberschaft und Integrität von Informationen sicherzustellen. Eine geeignete Sicherheitsarchitektur ist jedoch nur mit einem dem Unternehmen angemessenen IT-Sicherheitsmanagement realisierbar. Ziel des IT-Sicherheitsmanagements ist es, ein sinnvolles Kosten-Nutzen-Verhältnis für die IT-Sicherheit zu gewährleisten.

In diesem Artikel werden die Standards für IT-Sicherheitsmanagement BS7799-2:2002 (BS7799) und das Grundschutzhandbuch (GSHB) des Bundesamtes für Sicherheit in der Informationstechnologie (BSI) kurz dargestellt. Die dort vorgeschlagenen Lösungen werden anschließend mit Blick auf mittelständische Unternehmen diskutiert, die nicht über hohe Budgets für die IT-Sicherheit verfügen, aber dennoch komplexe IT-Umgebungen aufweisen.

Sicherheitsmanagement nach dem Grundschutzhandbuch (GSHB)

Nach dem GSHB sind die beiden folgenden grundlegende Aufgaben zu erledigen

Ø Initiierung eines IT-Sicherheitsprozesses
Ø Implementierung einer IT-Sicherheitsorganisation

Das GSHB empfiehlt, dass die Geschäftsführung den IT-Sicherheitsprozess durch die Definition und Herausgabe einer IT-Sicherheitsleitlinie initiiert. Die IT-Sicherheitsleitlinie definiert die Sicherheitsziele und –prinzipien für das Unternehmen, verpflichtet sowohl die Geschäftsleitung als auch jeden einzelnen Mitarbeiter auf die IT-Sicherheitsleitlinie und erklärt verbindlich eine Sicherheitsorganisation nebst zugehörigen Verantwortlichkeiten und Prozessen. Eine für ein Unternehmen mit einer kleinen Organisation geeignete IT-Sicherheitsorganisation nach dem GSHB zeigt die folgende Abbildung:

Der Geschäftsleitung obliegt nach dem GSHB immer die Verantwortung für die IT-Sicherheit des Unternehmens. Zudem ist ein IT-Sicherheitsbeauftragter vorgesehen, der für die Durchsetzung der IT-Sicherheit im Auftrag der Geschäftsleitung verantwortlich ist. Er definiert zusammen mit der Geschäftsleitung

Ø die IT-Sicherheitsleitlinie und
Ø den IT-Sicherheitsprozeß

für das Unternehmen. Zu seinen Aufgaben zählt darüber hinaus die Erstellung und Umsetzung von IT-Sicherheitsrichtlinien wie z.B. einer Passwort-Richtlinie für das Unternehmen. Durch regelmäßige Audits kontrolliert er die Umsetzung der Richtlinien. Dabei kann der IT-Sicherheitsbeauftragte zur Erledigung seiner Aufgaben natürlich auf andere IT-Mitarbeiter zurückgreifen. Auf jeden Fall muss jedoch die Geschäftsleitung dafür Sorge tragen, dass die notwendigen Ressourcen für die Etablierung und Aufrechterhaltung eines definierten IT-Sicherheitsniveaus bereitgestellt werden. Das GSHB bietet dem IT-Sicherheitsbeauftragten gute Unterstützung, indem es IT-Sicherheitsmaßnahmen für Bereiche wie IT-Sicherheitsorganisation und -prozesse, IT-Systeme und Plattformen, Datenbanken etc. nach Themenbereichen gebündelt anbietet. Damit stellt das GSHB einen sehr guten Leitfaden für die Implementierung von IT-Sicherheit in einem Unternehmen zur Verfügung.







Sicherheitsmanagement nach dem BS7799

Auch beim BS7799 liegt die Verantwortung für die IT-Sicherheit bei der Geschäftsführung. Grundlegend ist hier der Aufbau eines Information Security Management System (ISMS), das von der Geschäftsleitung kontrolliert werden muss. Zudem ist auf allen Hierarchieebenen das PDCA (Plan-Do-Control-Act) Regelkreismodel als Sicherheitsprozess zu implementieren.

Nach dem BS7799 Standard ist kein bestimmtes Sicherheitsniveau vorgeschrieben. Vielmehr hat das Unternehmen eine Risikoanalyse seiner Geschäftsprozesse durchzuführen. Die Risiken sind dann mit geeigneten Maßnahmen innerhalb des oben genannten PDCA Regelkreises auf ein von der Geschäftsführung ausdrücklich akzeptiertes Restrisiko zu reduzieren. Weiter fordert das BS7799 eine Security Policy und die Etablierung einer Sicherheitsorganisation, auch wenn diese nicht konkret durch das BS7799 definiert wird.

Sicherheitsmanagement für mittelständische Unternehmen

Zahlreiche mittelständische Unternehmen verfügen bereits über komplexe IT-Infrastrukturen, um im Wettbewerb Marktchancen nutzen zu können. Hierzu zählt eine gesicherte Anbindung an das Internet. Deshalb gewinnt die IT-Sicherheit zunehmend auch bei mittelständischen Betrieben an Bedeutung. Ein schlankes und effektives IT-Sicherheitsmanagement muss daher als Ziel der Unternehmenspolitik folgende Elemente umfassen:

Sicherheitsleitlinie
Die IT-Sicherheit wird von der Geschäftsführung als Unternehmensziel in einer Sicherheitsleitlinie definiert. Die Geschäftsführung und alle Mitarbeiter werden auf diese Sicherheitsleitlinie verpflichtet.

IT-Sicherheitsorganisation
Die IT-Sicherheitsorganisation wird mit der zentralen Rolle des IT-Sicherheitsbeauftragten implementiert. Weitere Rollen wie ein IT-Sicherheitsteam, das den IT-Sicherheitsbeauftragten in seiner Aufgabe unterstützt, kann ab einer bestimmten Größe der Organisation durchaus sinnvoll sein. Zudem muss ein IT-Sicherheitsprozeß definiert werden, der angemessen für das Unternehmen ist und ein ausreichendes Maß der Kontrolle und Überwachung des IT-Sicherheitsniveaus gewährleistet. Dazu sind entsprechende Monitoring-Prozesse und regelmäßige Audits zu definieren.

Risikoanalyse
Die Abschätzung der wesentlichen Risiken kann durch eine erste Grobanalyse vorgenommen werden. Danach sind die wichtigsten Schwachstellen im Sicherheitssystem des Unternehmens bekannt. Entsprechende Gegenmaßnahmen können definiert und priorisiert umgesetzt werden.

Monitoring und Audits
Die aktive Überwachung kritischer Systeme steht hier im Vordergrund. Hierbei können Intrusion Detection Systeme (IDS) oder automatische Logauswertetools zum Einsatz kommen. Wichtig ist aber insbesondere, dass auf sicherheitskritische Ereignisse schnell und effektiv reagiert wird. Hierzu sind Melde- und Eskalationsprozesse (Incident Response) zu definieren.
Das wichtigste Instrument der Überwachung stellen regelmäßige Audits dar. Deren Ergebnisse müssen gut dokumentiert werden, entdeckte Schwachstellen müssen rasch und angemessen behoben werden.

Fazit: Die IT-Infrastruktur muss auch für mittelständische Unternehmen durch ein effektives IT-Sicherheitsmanagement geschützt werden. Hierbei geben das Grundschutzhandbuch des BSI und der BS7799 Standard geeignete Maßnahmen für die Realisierung einer IT-Sicherheit vor. Jedoch ist immer darauf zu achten, dass die Sicherheitsorganisation und die Sicherheitsprozesse wirkungsvoll sind, gleichzeitig aber schlank bleiben und nur die unbedingt erforderlichen Ressourcen einsetzen.

Die secaron AG ist ein unabhängiges IT-Security Beraterhaus. Das Dienstleistungsangebot umfasst alle Aspekte im Bereich des IT-Sicherheitsmanagement und -Risikomanagement, angefangen bei der Konzeption von Security Policies, Durchführung von IT-Sicherheitsaudits, Sicherheitszertifizierungen bis hin zur technischen und organisatorischen Planung und Umsetzung von Sicherheitsmaßnahmen und Lösung. www.secaron.de

Der Autor, Dr. Thomas Stoertkuhl, ist Senior Consultant der secaron AG.


Kontakt

TÜV Rheinland i-sec GmbH
Am Grauen Stein
D-51105 Köln
Social Media