Sicherheitslücken verlässlich schließen

Die Sicherheit sensibler Geschäftsinformationen hängt von vielen Faktoren ab: IT-Infrastruktur, Personal, physische Umgebung das Betriebsmanagements. Dadurch entstehen zwangsläufig gefährliche Sicherheitslücken. Ein konsequentes Information-Security-Management hilft, sie weitgehend zu schließen.

Rechtliche Bestimmungen wie Sarbanes-Oxley, Basel II und das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) machen Geschäftsführer für mangelnde IT-Sicherheit haftbar. Daher müssen die IT-Verantwortlichen mögliche Sicherheitslöcher mit organisationsweiten Maßnahmen und Expertenunterstützung beseitigen. So stehen die Unternehmen über KonTraG in der Pflicht, ein angemessenes Risikomanagement sowie ein internes Überwachungssystem zu etablieren. Kommt es beispielsweise zu einer Unternehmenskrise, muss die Geschäftsführung gemäß KonTraG nachweisen, dass sie effiziente Maßnahmen zur Risikofrüherkennung und -abwehr getroffen hat. Weitere gesetzliche Bestimmungen zur Sicherheit von Geschäftsinformationen zielen, neben den betriebswirtschaftlichen und organisatorischen Vorgaben, auf die technische Sicherheit und Verfügbarkeit von Daten sowie ihre Integrität und Nachhaltigkeit ab.

Zwar geben das Grundschutzhandbuch des Bundesamts für Sicherheit in der Informationstechnik (BSI GsHb) und der britische Standard BS 7799 (ISO 17799), auf den sich »ITIL« (IT-Information-Library) bezieht, Orientierungshilfen für ein professionelles Information-Security-Management. Für die richtige Interpretation der gesetzlichen Vorgaben, um daraus konkrete betriebswirtschaftliche, organisatorische sowie technische Maßnahmen für die Sicherheitspraxis abzuleiten, benötigen Unternehmen jedoch kompetente Unterstützung. Zumal sich die wenigsten Manager und Sicherheitsverantwortlichen über die Zusammenhänge von betriebswirtschaftlichen Anforderungen und deren Auswirkungen auf die IT und Informationssicherheit im Klaren sind.

Oft deckt eine erste Prüfung auf, wo Sicherheit zu kurz kommt und welche Gegenmaßnahmen, beispielsweise Notfallkonzepte, ergriffen werden müssen. Für eine detaillierte Untersuchung steht eine Reihe anerkannter Methoden zur Verfügung, den Lücken innerhalb des Sicherheitssystems im Top-down- oder Bottom-up-Verfahren auf die Spur zu kommen.

Ein klassisches Beispiel für die Top-down-Vorgehensweise ist der Security-Quick-Check gemäß dem BS-7799-Standard. Er liefert in übersichtlicher Form einen Überblick zum aktuellen Stand der Informationssicherheit im Unternehmen. Ein so genanntes Spiderweb-Diagramm führt die Ergebnisse dieser Analyse mit allen Wechselwirkungen plastisch vor Augen.

Anders beim Bottom-up-Ansatz: Hier werden zur Analyse der IT-Sicherheit technische Werkzeuge herangezogen. Über sie lassen sich die Konsistenz, also Schlüssigkeit, und die Einhaltung von Sicherheitsregeln prüfen. Ihre »Festigkeit« wird zusätzlich durch simulierte Angriffe aus dem Internet auf die Probe gestellt. Auf diese Weise lassen sich Schwachstellen innerhalb der IT-Infrastruktur und seiner Komponenten aufdecken. Werden die Ergebnisse richtig bewertet, entsteht daraus eine reproduzierbare Skala, über die IT-Sicherheit im Unternehmen messbar wird.

Grundlegend für ein umfassendes und verlässliches Sicherheitssystem ist ein Katalog aus Sicherheitsregeln. Er sollte auf drei Detaillierungsebenen erarbeitet werden: der strategischen, konzeptionellen und operativen Ebene. Auf der ersten erlässt das Management Vorschriften für die Informationssicherheit und benennt die dafür Verantwortlichen. Auf der zweiten werden Themen wie der Umgang mit E-Mails, Verhaltensregeln für den Notfall und Sicherheitstrainings der Mitarbeiter behandelt. Die dritte Ebene dient der Beschreibung produktspezifischer Vorschriften und Verfahrensanweisungen wie zur Implementierung, zum Betrieb und zur Wartung der IT-Infrastruktur mit ihren Komponenten.

Im Fokus von Information-Security-Management stehen letztlich die Geschäftsprozesse. Dass hier der eigentliche Schutzbedarf liegt, wird spätestens dann für das Unternehmen spürbar, wenn wirtschaftlicher Schaden, beispielsweise durch Verletzung von Gesetzen oder Vorschriften, entstanden ist. Die Vertraulichkeit, Verfügbarkeit und Integrität dieser unmittelbar für das Geschäft wichtigen Prozesse sind deshalb nicht hoch genug zu bewerten. Eine detaillierte Dokumentation von Organisationsstrukturen und Abläufen vereinfacht es, Sicherheitsschwachstellen entlang der Geschäftsprozesse aufzudecken, um so die Basis für Business-Continuity-Management (BCM) zu legen.