Sign In

Welcome, Login to your account.

IT / Kommunikation | Di, 07.10.2008 11:05

Spot an - Risiken aus / Managementsystem für Informationssicherheit

Von: Michael Junk, IT-Security & Compliance Manager, Novell Central Europe

Die Anforderungen an ein umfassendes IT-Sicherheitskonzept im Unternehmen sind in den letzten Jahren deutlich gestiegen. Das liegt nicht nur an einer allgemein gesteigerten Sensibilität gegenüber Fragen der IT-Sicherheit, sondern vor allem an verschärften gesetzlichen und anderen regulatorischen Rahmenbedingungen. Wurden Umfang und Ausgestaltung interner Kontrollsysteme bislang unternehmensintern definiert, gibt es jetzt genaue Vorgaben, wie beispielsweise KontraG, SOX oder Basel II. Versäumnisse werden teuer, meist haften direkt die Geschäftsführer und Vorstände. Aber wo soll man anfangen?

Michael Junk, IT-Security & Compliance  Manager

Michael Junk, IT-Security & Compliance Manager


Was entspricht im Unternehmen eigentlich schon der Norm und um welche Norm  geht es überhaupt? Vertraulichkeit, Verfügbarkeit und Integrität  der Daten nehmen einen immer höheren  Stellenwert in jedem einzelnen Unternehmen  ein. Um einen sicheren Umgang mit  Daten und informationsverarbeitenden  Systemen zu gewährleisten, ist es erforderlich,  entsprechende Sicherheitsstandards zu entwickeln und einzuhalten. Insbesondere die  Unternehmensleitung muss sich ihrer  Verantwortung bewusst werden, denn  IT-Sicherheit ist immer Chefsache. Der Sicherheitsprozess  muss auf Leitungsebene  initiiert und anschließend von allen Beteiligten  im Unternehmen mitgetragen und mitgestaltet werden. Verstanden haben das inzwischen viele. Aber ein integriertes und  funktionsfähiges Managementsystem für  Informationssicherheit (engl.: Information Security Management System, ISMS), das  dauerhaft die Informationssicherheit steuert, kontrolliert und Vertraulichkeit, Integrität und Verfügbarkeit von Informationen  gewährleistet, hat derzeit in den Unternehmen  noch Seltenheitswert. 

Um transparent zu machen, was bislang  fehlt und wie sich die „Lücken“ schließen  lassen, bietet sich für Unternehmen jeder  Größenordnung eine GAP-Analyse an. Per  betriebswirtschaftlicher Definition basiert  eine GAP-Analyse auf dem Vergleich zwischen  angestrebtem und tatsächlichem Verlauf einer  Zielgröße. Wird dabei eine Lücke  identifiziert, dann ist zu überlegen, welches die Ursachen hierfür sind und welche Maßnahmen  ergriffen werden sollen um sie zu beseitigen.  Auf den Bereich Identity & Security bezogen  bedeutet es, das Sicherheitskonzept des Unternehmens auf der Basis der ISO-Norm 27001 systematisch zu überprüfen. Diese  Analyse kann als Vorbereitung für eine Zertifizierung  dienen, ist aber auch für Unternehmen hilfreich, die eine formale Zertifizierung  zwar nicht anstreben, die aber ihr IT-Sicherheitskonzept dennoch an dem allgemein  anerkannten und von Partnern und Kunden zunehmend erwarteten Stand der Technik ausrichten wollen. 

Im Rahmen einer GAP-Analyse wird der Ist-Zustand der IT-Struktur für relevante Verfahren und Systeme analysiert und die fraglichen Systeme auf Basis einer Schutzbedarfsfeststellung beurteilt. Risiken werden kenntlich gemacht und in Anlehnung an ISO 27001 bewertet. Die Sicherheitsrichtlinien und interne Kontrollen müssen untersucht und etwaige Lücken im Sicherheitskonzept aufgedeckt und gewichtet werden. Anschließend werden weitere Schritte geplant.

Dabei ist  es wichtig, die gesetzlichen und regulatorischen  Rahmenbedingungen im Auge zu behalten und die Balance zwischen Aufwand und Nutzen von Sicherheitsmaßnahmen zu  halten. Die Analyse ist zwar zeitaufwändig, ist aber gut investiert, weil sich die verantwortlichen  anschließend auf die wesentlichen  Dinge konzentrieren können. Der Aufbau eines ISMS orientiert sich dann  am so genannten PDCA-Modell (plan - do - check - act). Von der Erfassung sicherheitsrelevanter Geschäftswerte (assets) über die Identifikation und Einstufung bestehender Risiken bis zur Planung und Umsetzung  geeigneter Schutzmaßnahmen erhält  das Unternehmen Instrumente zur Kontrolle  und Verbesserung der  Informationssicherheit innerhalb der Organisation.  Das Modell gewährleistet der  Unternehmensführung die volle Kontrolle über zu tätigende Investitionen und unterstützt  das IT-Management dabei, Schwachstellen  zu identifizieren und durch den gezielten  Einsatz von Mitteln zu beheben. Es  ist also nicht ausreichend, dass entsprechende  Prozessbeschreibungen (Workflows und Berechtigungen) existieren. Es  muss nachvollziehbar dargestellt werden  können, dass und wie diese Prozesse funktionieren und ineinander greifen.

Der Aufbau und die Zertifizierung eines  ISMS kann die Unternehmenskultur intern  wie extern beeinflussen, neue Geschäftsmöglichkeiten  mit sicherheitsbewussten  Kunden schaffen und zusätzlich die Mitarbeitermoral  sowie ihr Bewusstsein für Diskretion am Arbeitsplatz steigern. Darüber I  hinaus kann so Informationssicherheit  durchgesetzt und das Risiko von Unterschlagung,  Informationsverlust und unerwünschtem  Bekannt werden der Informationen  minimiert werden. Zuallererst muss  die GAP-Analyse aber in den Unternehmen  ein Licht anknipsen und die vorhandenen  IT-Sicherheitssysteme be- und durchleuchten. Nachschauen und gegebenenfalls aufräumen sowie in Richtung ISMS optimieren, müssen die IT-Verantwortlichen dann noch  selbst. 

Über den Autor:
Michael Junk ist seit 10 Jahren im Bereich IT-Security tätig, davon 8 Jahre im Banken-und Versicherungs-Umfeld. Schwerpunkt seiner Tätigkeit sind IT-Sicherheits-Audits und IT-Sicherheitsberatung sowie Mitwirkung bei IT-Sicherheitsprojekten und Aufbau von IT-Architekturlandschaften auf verschiedenen ISO-Normen unter Berücksichtigung gesetzlichen Rahmenbedingungen. Er ist zertifiziert bei ITIL, T.I.S.P, CISA.