IT-Sicherheitsmanagement

Warum IT-Sicherheit?

Unternehmen jeder Größenordnung sind heute auf zuverlässige und effiziente Informationstechnologie (IT) angewiesen. Sicherheitsvorfälle führen zu zusätzlichem Aufwand, vielleicht sogar zu Einnahmeausfall und Imageschaden.

Die IT-Sicherheit (Verfügbarkeit, Vertraulichkeit und Integrität) beschränkt sich dabei nicht nur auf die informationstechnischen Systeme, sondern erstreckt sich im Sinne von Informationssicherheit auch auf aufbau- und ablauforganisatorische sowie führungsbezogene Fragestellungen.

Das Management, also die systematische Planung und Kontrolle, der IT-Sicherheit hilft, die Risiken beim Einsatz von Informationstechnologie zu erkennen und die Eintrittswahrscheinlichkeit von Sicherheitsvorfällen durch geeignete Maßnahmen zu minimieren.

Neben der internen Motivation, mit der sich Unternehmen um IT-Sicherheit kümmern, gibt es auch externe Beweggründe: Verschiedene gesetzliche Regelungen führen zur Haftung der Unternehmensleitung für Schäden bei auftretenden Sicherheitsvorfällen, z.B. wenn die erforderliche "Sorgfalt eines ordentlichen Geschäftsmannes" nicht angewendet wurde (§43 GmbHG).

Sie haben eine Problemstellung? Lassen Sie es mich wissen! Klicken Sie auf den Link und geben Sie mir die Rahmeninformationen zu Ihrem Projekt. Sie erhalten einen unverbindlichen Vorschlag für das weitere Vorgehen.

Grundschutz des BSI

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt seit Mitte der neunziger Jahre das IT-Grundschutzhandbuch zur Verfügung.

Die Grundidee besteht darin, einen Katalog von Maßnahmen nach einem Standard-Schema anzuwenden.

Die BSI-Standards 100-1/2/3 enthalten dazu Empfehlungen des BSI zu Methoden, Prozessen und Verfahren sowie Vorgehensweisen und Maßnahmen mit Bezug zur Informationssicherheit.

Die Schritte nach BSI Grundschutz sind im einzelnen:

• Strukturanalyse (Aufnahme der IT-Architektur und Abgrenzung des Untersuchungsbereichs)
• Schutzbedarfsfeststellung (Ermittlung typischer Schadensszenarien mit Hilfe von Gefährdungskatalogen)
• Modellierung (Auswahl von Maßnahmen und Prüfung des Umsetzungsgrades)
• Grundschutzzertifikat (ggf. Zertifizierung durch eine akkreditierte Stelle)

Vorgehensweise

In einem Vorgespräch werden die Rahmenbedingungen geklärt, z.B.: Welche IT-Systeme werden eingesetzt? Welches Sicherheitsniveau soll erreicht werden? Gibt es einen Ansprechpartner für die IT-Sicherheit?

In Abhängigkeit von den Rahmenbedingungen wird gemeinsam das weitere Vorgehen festgelegt. Es können verschiedene Bausteine ausgewählt werden:

• Technischer Basischeck (Viren, Rootkits, Firewall, Netzwerkports, WLAN)
• Abarbeitung Checkliste gem. Leitfaden IT-Sicherheit vom BSI
• Workshop IT-Sicherheitsmanagement (Erarbeitung eines Sicherheitskonzepts gem. IT-Grundschutz des BSI)
• Externer IT-Sicherheitsbeauftragter (Outsourcing des Ansprechpartners für IT-Sicherheitsfragen)
• Schulung der Benutzer zu IT-Sicherheitsthemen (Viren, Phishing, Spam, Kennwörter, E-Mail-Verschlüsselung etc.)

Nutzen

• Schaffung eines Bewusstseins für die Abhängigkeit von Anwendungen, Daten und IT-Systemen bei allen Mitarbeitern
• Gezieltes Aufdecken von Schwachstellen und Aufzeigen von Möglichkeiten der Verbesserung
• Dokumentation der IT-Infrastruktur
• Verfügbarkeit eines Notfallplans, wenn ein Sicherheitsvorfall auftreten sollte
• Ermittlung von Einsparpotentialen und Effizienzverbesserungen im IT-Bereich
• Möglichkeit der Darstellung des Risikomanagements nach außen (Kunden, Behörden, Kapitalgeber - Stichwort: Basel II)
• Wettbewerbsvorteile aufgrund des gesteigerten Kundenvertrauens in das Unternehmen