Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Office & Kommunikation > Aufrüsten nach Maß

Sicherheitsstrategie

Aufrüsten nach Maß

28. Februar 2019, 9:37 Uhr | Autor: Severin Rast / Redaktion: Axel Pomper
© Scott Betts-123rf

Die Frage lautet heute längst nicht mehr, ob ein Cyberangriff passiert, sondern wann. Eine Antiviren-Software reicht aber schon lange nicht mehr aus, um Hacker-Attacken wirksam abzuwehren. Wer sich angemessen schützen will, braucht eine strategische und umfassende Herangehensweise.

Das Bundesamt für Sicherheit in der Informationstechnik“ (BSI) hat mit dem „IT-Grundschutz“ einen Ansatz entwickelt, der sich auch an die Bedürfnisse kleinerer Unternehmen flexibel anpassen lässt. Denn der Schutz der Unternehmens-IT ist längst nicht mehr „nice to have“, sondern eine Frage der unternehmerischen Existenz. Angesichts immer raffinierterer Cyber-Angreifer und einer Vielzahl bekannter und unbekannter Gefährdungen reichen die Anschaffung einer Firewall oder einer Antiviren-Software längst nicht mehr aus. Zudem sind immer häufiger die eigenen Mitarbeiter Opfer gezielter Angriffsmethoden wie Phishing und Social Engineering und öffnen den Angreifern durch ihre Unwissenheit Tür und Tor. Mobile Geräte werden ohne Passwortschutz genutzt, Anhänge von Spam-Mails geöffnet und fremde USB-Sticks verwendet. Hinzu kommen physische Gefahren wie Feuer, Wasser oder Staub, die ernste Schäden verursachen können. Nur mit einer systematischen und umfassenden Herangehensweise lässt sich dieses Bündel von Bedrohungen stoppen. Entscheidend ist ein Umdenken im Management: IT-Sicherheit gehört ganz oben auf die Agenda jedes Unternehmens – und zwar in den Chefetagen.

Eine zuverlässige Basis für solche führungsgetriebenen Sicherheitsstrategien gibt es seit über 20 Jahren: Das BSI hat mit dem IT-Grundschutz einen detaillierten Leitfaden erstellt, der heute mehr Relevanz hat denn je. Die Grundschutzmethodik berücksichtigt hierbei alle für die IT-Sicherheit relevanten Bereiche wie Organisation, Personal, Technik und Infrastruktur und sichert diese im Hinblick auf die drei Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit ab. Hierbei geht es neben der Absicherung von Servern und Clients auch darum, ob die Mitarbeiter richtig geschult werden oder Räume und Türen genügend gegen Feuer und Rauch geschützt sind. Der Grundschutz wurde erst kürzlich um aktuelle Anforderungen erweitert, zum Beispiel beim Mobile Device Management. Auch der Schutz von Automatisierungs- und Prozesssteuerungssystemen ist Teil des modernisierten Grundschutzes, sodass auch die Entwicklung „Industrie 4.0“ berücksichtigt wird.

Anbieter zum Thema

Vertiv GmbH
Panduit
d.velop AG
AixpertSoft GmbH
G DATA CyberDefense AG
Matchmaker+
zu Matchmaker+
Die Struktur für ein systematisches Vorgehen bei der Entwicklung und Umsetzung eines ISMS
Die Struktur für ein systematisches Vorgehen bei der Entwicklung und Umsetzung eines ISMS
© Infodas

Updates nicht mehr versäumen

Rückgrat der IT-Grundschutz-Methode ist der Aufbau eines sogenannten Informationssicherheits-Managementsystems (ISMS). Dabei werden Verfahren und Regeln festgelegt, die dafür sorgen, dass die benötigte Informationssicherheit im Unternehmen definiert, umgesetzt und kontinuierlich verbessert wird. Wie wichtig ein solches Management ist, hat erst im Jahr 2017 der Angriff durch die Schadsoftware WannaCry gezeigt: Viele Unternehmen hätten sich mit einfachen Updates schützen können. Die Kontrolle der Umsetzung und Wirkung der ausgewählten Maßnahmen mittels definierter Prozesse ist einer der Kernaspekte innerhalb des ISMS.

Der IT-Grundschutz bietet die Struktur für ein systematisches Vorgehen bei der Entwicklung und Umsetzung eines ISMS. Dank der standardisierten Methodik lässt sich die Umsetzung messen und vergleichen. Die wirkungsvolle Umsetzung lässt sich durch unabhängige Auditoren prüfen und durch das BSI zertifizieren. Ein solches Zertifikat dient als Nachweis für den erfolgreichen und nachhaltigen Aufbau eines ISMS bei Ihren Stakeholdern. Behörden und Unternehmen, die im Behördenkontext arbeiten, sowie kritische Infrastrukturen sind längst verpflichtet, solche Zertifikate zu erwerben.

Besonders für kleine und mittelgroße Unternehmen ist eine zielgerichtete Herangehensweise notwendig, die auf ein Unternehmen zugeschnitten ist und gleichzeitig Transparenz und schnelle Ergebnisse liefert. Folgende Schritte sind dafür Voraussetzung:

  1. Aufwand abschätzen mittels Gap-Analyse: In den meisten Unternehmen wurden bereits Maßnahmen zur Erhöhung der Informationssicherheit umgesetzt – Beispiele hierfür sind Firewalls, Virenscanner, Brandschutztechnik sowie Anweisungen zur Nutzung von mobilen Endgeräten. Erfahrungsgemäß sind diese Sicherheitsmaßnahmen oft unvollständig und nicht systematisch vernetzt und die ganzheitliche Planung sowie Wirkungskontrolle nicht standarisiert umgesetzt. IT-Sicherheitsdienstleister nutzen deshalb so genannte Gap-Analysen, welche den Umsetzungsgrad der Anforderungen aus dem IT-Grundschutz durch einen Abgleich mit dem Ist-Zustand im Unternehmen prüfen, um den Aufwand für die ganzheitliche Einführung eines ISMS besser abschätzen zu können.   
  2. Zertifizierung – ja oder nein? Mit einer Zertifizierung des ISMS werden die Transparenz und Wirkung der Sicherheitsprozesse bekräftigt und nach außen nachweisbar, was das Vertrauen in das Unternehmen steigert und für einige Unternehmen sogar ein erfolgskritisches Alleinstellungsmerkmal darstellt. Im nächsten Schritt sollte ein Unternehmen daher entscheiden, ob die Zertifizierung der erfolgreichen Implementierung des ISMS erforderlich bzw. gewünscht ist. Die Zertifizierung eines ISMS, das nach IT-Grundschutz aufgebaut wurde und betrieben wird erfolgt als “ISO 27001 Zertifizierung auf Basis von IT-Grundschutz“.
  3. Individuellen Grad der Absicherung wählen: Bisher war in der Grundschutz-Methodik nur eine Vorgehensweise, nämlich die vollständige Absicherung des gesamten Informationsverbunds, vorgesehen. Der modernisierte IT-Grundschutz hingegen bietet drei Stufen für die Absicherung an: die Basis-Absicherung, die Kern-Absicherung sowie die Standard-Absicherung. Diese richten sich an die unterschiedlichen Anwendergruppen und unterscheiden sich in Art, Aufwand und Zielen. Den Unternehmen ermöglicht dies eine praxisnahe und schnelle Umsetzung der benötigten IT-Sicherheit. Anschließend lässt sich durch die Umsetzung weiterer Bausteine das Sicherheitsniveau systematisch erhöhen, bis eine Zertifizierungsreife erreicht wird.

Security als Must-have
Eine angemessene Absicherung der unternehmenskritischen IT ist längst ein „Must-have“ und erfordert eine systematische Vorgehensweise. Unternehmen bietet der IT-Grundschutz eine bewährte und umfassende Methode zur Absicherung ihrer IT. Das ursprünglich enorm umfangreiche Paket präsentiert sich heute als flexibler Werkzeugkasten, welcher sich den individuellen Bedarfen Ihres Unternehmens anpasst und von der Basis-Absicherung bis hin zur vollständigen, zertifizierungsfähigen Implementierung des IT-Grundschutz ein geeignetes Vorgehen bietet.

Severin Rast ist Leiter Business Unit IT Security Consulting bei Infodas

  1. Aufrüsten nach Maß
  2. Hintergrund: Die neuen Absicherungs-Stufen des BSI

Lesen Sie mehr zum Thema

connect professional Viren-/Malware-Schutz Sicherheit Mobile Security
Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu connect professional

Privatsphäre? Fehlanzeige!

Gericht in NRW erlaubt versteckte Kamera in WG-Zimmer

Hybride Arbeitswelt

Meetingraum-Systeme as a Service

Digitale Souveränität in Europa

Der neue Wettlauf um Kontrolle, Kompetenz und Kooperation

Pflegepersonalbemessungsverordnung

Nicht mehr exceln bis der Arzt kommt

Open statt ausgeliefert

Wie das ZenDiS Alternativen zur IT-Abhängigkeit etablieren will

Weitere Artikel zu Viren-/Malware-Schutz

94 Prozent mehr Netzwerk-Malware

Krypto-Miner, Zero-Day-Malware und Linux-Bedrohungen legen zu

Malware in raubkopierter Software  

Jamf Threat: Hintertür in raubkopierten macOS-Anwendungen

Sicherheits-Lücke bei Google

Malware-Entwickler reaktivieren abgelaufene Google-Cookies

Trend Micro: Gefahr durch Infostealer

Auf diese Daten haben es Hacker am meisten abgesehen

Banking-Malware, Stealer und Ransomware

Crimeware-Report von Kaspersky zeigt drei neue Bedrohungen

Weitere Artikel zu Sicherheit

Human Risk Management

Mimecast übernimmt Elevate Security

Adventskalender von Exclusive Networks

„All I want for christmas“-Gadgets bis Weihnachten

Spezialist für IT-Sceurity

BOLL Engineering baut Distributionsportfolio kräftig aus

Security-Lösungen für Service Provider

SonicWall übernimmt Solutions Granted

OT-Sicherheit

TXOne Networks nun VDMA-Mitglied

Weitere Artikel zu Mobile Security

Advertorial

Wie Unternehmen ihre mobile Kommunikation schützen

Cyan Guard 360

Cybersecurity für den Mittelstand

Videoüberwachung und LivEye

Mobile Videosicherheit als Dienstleistung

Unternehmen im Fadenkreuz

Cyberangriffe auf Rekordniveau

Onlinebetrug vorbeugen

o2 Telefónica mit neuer Identifizierungslösung für Händler

Matchmaker+
Securepoint GmbH

Securepoint GmbH
comTeam Systemhaus GmbH

comTeam Systemhaus GmbH
Plusnet GmbH

Plusnet GmbH
ECOM Electronic Components Trading GmbH

ECOM Electronic Components Trading GmbH
KONZEPTUM GmbH

KONZEPTUM GmbH
Redgate Software

Redgate Software