Information-Security-Management
IT-Sicherheit kontrollieren
Interne und gesetzlich vorgegebene Sicherheitsrichtlinien zu definieren und sie mit den adäquaten Maßnahmen umzusetzen ist nicht genug. Was nutzt die beste Vorbeugung, wenn die Wirkung der Sicherheitsmaßnahmen nicht kontinuierlich überprüft wird? Genau das macht Information-Security-Management.
Informationsinfrastrukturen sind für Unternehmen das, was für den menschlichen Körper das
Nervensystem ist. Hier fließen die Daten zusammen, die helfen, Entscheidungen in konkrete
Handlungen umzusetzen. Kommt es zu Problemen, Ausnahmesituationen oder Fehlentwicklungen, weil
einzelne Komponenten versagen, leidet darunter der gesamte Geschäftsprozess – im schlimmsten Fall
stehen die IT-Systeme nicht mehr zur Verfügung und das Unternehmen hat Umsatzeinbußen zu
verzeichnen. Daher ist aus Sicht des Managements der Schutz der "lebenswichtigen Informationen"
unabdingbar. Um diese wirkungsvoll zu schützen, müssen drohende Gefahren rechtzeitig erkannt und so
früh wie möglich beseitigt werden.
In diesem Zusammenhang hat sich seit einiger Zeit der Begriff Informationssicherheit
durchgesetzt. Dabei geht es zunächst einmal um die Themen Verfügbarkeit, Integrität,
Vertraulichkeit und Schutz von Informationen. Dies ist auch dringend notwendig, denn
IT-Sicherheitsexperten sind sich an dieser Stelle einig: Schadprogramme wie Spyware, Trojaner und
Viren sind bösartiger geworden. Früher brachten jugendliche Hacker solche Software in Umlauf, um
Aufsehen zu erregen und um ihr Ansehen in der Szene zu steigern. Heute haben eher professionelle
Banden das Ruder übernommen. Oft werden Trojaner gezielt platziert, um vertrauliche Daten aus
Unternehmen zu stehlen, um über Bot-Netze Spam im großen Rahmen zu verbreiten oder über angedrohte
Denial-of-Service-Attacken Onlineshops zu erpressen. Spyware, Trojaner und Viren bilden heute eine
ernsthafte Bedrohung mit kriminellem Hintergrund.
Prävention reicht nicht aus
Informationssicherheit ist eine übergeordnete Aufgabe: Verantwortlich für die Festlegung und
Verabschiedung unternehmensweiter Informations- und Sicherheitsrichtlinien ist die
Geschäftsleitung. Information-Security-Management nimmt dort seinen Anfang. Im nächsten Schritt
sorgt die IT-Abteilung beispielsweise unter Einsatz von Firewalls, Patch- und Virenschutzsystemen,
Spam- sowie Web-Content-Filtern für die Umsetzung der Vorgaben.
In vielen Unternehmen sind die Verantwortlichen noch immer der Meinung, damit ihre Pflicht und
Schuldigkeit getan zu haben. Doch weit gefehlt. Die eigentliche Aufgabe fängt dann erst an, denn
die Wirksamkeit der Security-Maßnahmen muss dauerhaft überprüft werden. Ohne Check kann ein
Unternehmen nicht sicher sein: Wird das gewünschte, aktuell mögliche Sicherheitsniveau im gesamten
Netzwerk erreicht? Sind Viren-, Spyware-, Anti-Spam-Schutz und das Patch-Level für Betriebssysteme
und Office-Applikationen auf dem höchstmöglichen Niveau, um eine erfolgreiche Abwehr aktueller
Bedrohungen zu erzielen? Ebenso unklar bleibt, wie viele Virenangriffe aktuell auftreten und in
welcher Region, an welchem Standort oder auf welchem System besonders signifikante
Malware-Aktivitäten zu verzeichnen sind. Erst durch die Erfassung und Bewertung dieser
Informationen kann das Sicherheitssystem eine größtmögliche Effizienz erzielen.
Sicherheits- und Datenschutzkonzept
Das Ziel eines solchen Information-Security-Managements ist es, Verfahren und Regeln zu
entwickeln, die es ermöglichen, die Informationssicherheit eines Unternehmens verlässlich zu
steuern und zu kontrollieren. Für den operativen Betrieb bedeutet dies: Die Informationssysteme
müssen erreichbar, verlässlich und vertrauenswürdig sein. In vielen Unternehmen existiert dazu
heute bereits ein Sicherheits- oder auch Datenschutzkonzept, in dem die Eckpunkte als Vorgaben
enthalten sind. Je größer das Unternehmen, desto höher die Wahrscheinlichkeit, dass derartige
Sicherheitsrichtlinien existieren, in kleineren Unternehmen besteht oft Nachholbedarf..
Gesetzliche Vorgaben regeln die IT-Sicherheit
Gerade in letzter Zeit sind jedoch eine Reihe externer Vorgaben sowie gesetzliche Regelungen
dazugekommen. US-börsennotierte Unternehmen müssen sich nach den Anforderungen aus dem
Sarbanes-Oxley Act richten. Einzelheiten dazu werden häufig unter den Stichwörtern Corporate
Governance und Compliance diskutiert. Auch im europäischen Raum existieren vergleichbare
Compliance-Gesetze, beispielsweise das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich
(KonTraG).
Einer der zentralen Aspekte von KonTraG: Es verpflichtet den Vorstand, ein unternehmensweites
Früherkennungssystem für Risiken einzuführen und zu betreiben sowie Aussagen zu Risiken und zur
Risikostruktur des Unternehmens im Geschäftsbericht zu veröffentlichen. Ein solches
Risikomanagement muss sich natürlich auch mit der IT-Security befassen.
Weitere Anforderungen an das Information-Security-Management ergeben sich aus international
akzeptierten Standards wie ISO/IEC 27001:2005. Darin sind Anforderungen für Entwicklung,
Einführung, Umsetzung, Betrieb, Überwachung, Wartung und Verbesserung eines
Information-Security-Managements definiert. Das schließt interne Sicherheitsrisiken ausdrücklich
mit ein.
Der ISO/IEC-27001:2005-Standard enthält sehr detaillierte Anforderungen an ein
Information-Security-Management-System (ISMS) zur Herstellung und Aufrechterhaltung einer wirksamen
IT-Sicherheit. Als Managementansatz zur Entwicklung, Umsetzung und kontinuierlichen Verbesserung
der Informationssicherheit in Unternehmen baut ISO/IEC 27001:2005 auf dem PDCA-Modell
(Plan-Do-Check-Act) auf. Als nationale Ausprägung der ursprünglich aus Großbritannien stammenden
ISO-Norm gilt hier zu Lande der so genannte BSI-Grundschutz (BSI: Bundesamt für Sicherheit in der
Informationstechnik). So können seit Anfang 2006 Unternehmen ISO-27001-Zertifikate auf der Basis
von "IT-Grundschutz" beim BSI beantragen.
Der Fokus liegt auf der Check-Phase: Eine Lösung für Information-Security-Management wie etwa
Security Lighthouse von Ampeg sammelt zentral alle sicherheitsrelevanten Daten aus Virenschutz-,
Anti-Spam- und Patch-Management-Applikationen und macht den Sicherheitsstatus aller Clients, Server
und Gateways eines Unternehmens transparent.
Proaktives Risikomanagement
Unternehmen kommen in Zukunft ohne ein Information-Security-Management nicht mehr aus. Die
Definition und Umsetzung von Sicherheitsrichtlinien allein genügt jedoch nicht: Der
Sicherheitsstatus muss regelmäßig vom Security-Management überprüft werden. Ein nachhaltiges
Information-Security-Management bedarf daher bestimmter Voraussetzungen:
Definition von Informationsschutz- und Sicherheitsrichtlinien, bei denen
interne sowie externe Verfahren und Regeln einfließen,
Umsetzung der Vorgaben im Rahmen organisatorischer Maßnahmen und der passenden
IT-Security-Infrastruktur sowie
wirksame Kontrolle der Vorgaben, die eine kontinuierliche Verbesserung der
Sicherheitslage vorsieht.
Ganzheitliches Sicherheitsmanagement
Maßgeschneiderte Kontrollinstrumente ermöglichen ein ganzheitliches, vorausschauendes
Sicherheitsmanagement. Sie visualisieren den aktuellen Sicherheitsstatus sämtlicher Regionen eines
Unternehmensnetzwerks. Ampelfunktionen mit den Alarmstufen grün (unkritisch), gelb (bedenklich) und
rot (kritisch) zeigen beispielsweise die Security-Level einzelner Regionen an. Darüber ist eine
rechnergenaue Überprüfung sicherheitsrelevanter Vorgänge möglich, beispielsweise das Monitoring des
Rollout-Fortschritts eines Virenschutz-Patterns oder der aktuellen Pattern-Levels aller SAP-Server
im Unternehmen. Dabei lassen sich auch zuvor definierte Sicherheitsrichtlinien prüfen.
Lesen Sie mehr zum Thema
