Betrachtet man Sicherheit als Zustand ohne Bedrohungen oder Gefahren, wird schnell klar, dass IT-Sicherheit weit mehr ist als das, was im ersten Moment vermutet wird.
Wen betrifft IT-Sicherheit?
Gerade Existenzgründer und Unternehmer müssen sich der möglichen Gefahren bewusst sein – und analysieren, welche davon für die eigene Geschäftsidee relevant sind. Sicher im Netz der Netze unterwegs sein, hat viele Seiten. Schon bei den ersten Überlegungen, das Internet als Mittel zum Zweck oder als Gegenstand der Geschäftsidee zu nutzen, muss dies berücksichtigt werden.
Was ist IT-Sicherheit?
Drei Grundpfeiler der IT-Sicherheit sind:
- Verfügbarkeit,
- Integrität und
- Vertraulichkeit.
Hinzu kommt als 4. die Rechtssicherheit, also das gesetzeskonforme Handeln (Compliance). Nicht nur für Unternehmen ist daher das Ziel, die genannten Kriterien für alle beteiligten Parteien zu sichern. Dies gilt speziell für die Kommunikation mit Partnern, Kunden und Beschäftigten. Jede der bekannten Bedrohungen hat Auswirkungen auf mindestens einen dieser Bereiche. Computerschädlinge könnten sich auf alle vier auswirken. Ein Stromausfall etwa würde die Verfügbarkeit beeinträchtigen. Der Verstoß gegen Gesetze kann empfindliche Strafen nach sich ziehen.
Der Weg zu mehr IT-Sicherheit besteht also in der Sicherung der Verfügbarkeit, der Integrität, der Vertraulichkeit und der Gesetzeskonformität. Dies erfordert Maßnahmen in Bezug auf Organisation, Technik und Mensch.
Welche Handlungsfelder gibt es?
Besondere Bedeutung hat planmäßiges, überlegtes Handeln. Oft lässt sich mit wenig Aufwand viel erreichen. Das können organisatorische oder technische Maßnahmen sein. Ein besonders wichtiger Sicherheitsfaktor sind die Menschen im Unternehmen. Und dies gilt ausnahmslos: vom Geschäftsinhaber bis zum Praktikanten. Denn es sind Menschen, die mit ihrer Intelligenz und dem Ziel, ihre Arbeit ordentlich zu erledigen, mühelos jede Sicherheitsmaßnahme umgehen oder außer Kraft setzen können. Hier muss man verständlich kommunizieren, warum bestimmte Dinge zu tun oder zu lassen sind.
Bereits mit organisatorischen Maßnahmen lässt sich die Sicherheit im Internet wesentlich erhöhen. Hierzu sind einige Überlegungen und Recherchen erforderlich. Im Fokus steht der Geschäftsgegenstand. An ihm orientieren sich alle Überlegungen, Regelungen und Maßnahmen. Für optimale Ergebnisse ist eine systematische Vorgehensweise oberstes Gebot. Die wesentlichen Phasen sind:
- Analyse/Planung,
- Umsetzung,
- Kontrolle und
- Anpassung
Es ist ein Kreislauf, der immer wieder durchlaufen wird. Dabei kann auch Vorhandenes effizient eingebracht werden. IT-Sicherheit ist niemals finaler Zustand.
Analyse/Planung
Ausgangspunkt ist die Analyse aller möglichen Einflussfaktoren, die für die IT-Sicherheit relevant sind. Dies sind im Wesentlichen rechtliche Anforderungen, die IT-Komponenten/ Technik und natürlich der Mensch im Unternehmen. Für die Ermittlung der rechtlichen Aspekte sollte die Unterstützung von Spezialisten in Anspruch genommen werden.
Es folgt die Untersuchung, welche Themen für das Geschäft unbedingt erforderlich sind (Priorisierung: z. B. „sehr wichtig“, „wichtig“ und „weniger wichtig“). Anschließend wird analysiert, welche Einflüsse relevant sein könnten. Dies reicht von höherer Gewalt (z.B. Wasserschaden) über technische Defekte bis hin zu menschlicher Einwirkung (z.B. Fehlverhalten). Nach der Erfassung der potenziellen Bedrohungen folgt eine Bewertung ihrer Eintrittswahrscheinlichkeit (wie oft) und des damit verbundenen möglichen Schadens. Hierbei ist auch an Schäden zu denken, die nicht direkt materieller Natur sind, wie z.B. ein Imageverlust.
Mit den ermittelten Risiken kann unterschiedlich umgegangen werden. Im Wesentlichen sind das: die Verlagerung, die Akzeptanz und die Minimierung des Risikos. Bei der Minimierung kann entweder die Reduzierung der Eintrittswahrscheinlichkeit und/oder des damit verbundenen Schadens das Ziel sein.
Wertvolle Hinweise bietet z.B. das BSI (Bundesamt für Sicherheit in der Informationstechnologie) mit seinen Grundschutzkatalogen an: www.bsi.bund.de
Für die Auswahl der konkreten Aktivitäten kann die Inanspruchnahme von Spezialisten hilfreich sein. Vorrang haben Maßnahmen, bei denen mit wenig Aufwand (Zeit und Kosten) viel erreicht werden kann.
Umsetzung
Auch bei der Realisierung sollte in bestimmten Bereichen auf professionelle Unterstützung zurückgegriffen werden. Besondere Bedeutung kommt der Dokumentation der ergriffenen Maßnahmen zu. Sie ermöglicht es im Schadensfall, die Arbeitsfähigkeit schneller wieder herzustellen und gegenüber Dritten nachzuweisen, dass und welche Maßnahmen ergriffen wurden. Geeignete Dokumentationen können ein Notfallhandbuch oder ein IT-Sicherheitskonzept sein. In der Praxis hat es sich bewährt, derartige Dokumentationen als „lose Blattsammlung“ anzulegen. Dies erleichtert die spätere Pflege und Aktualisierung.
Kontrolle
Eine wesentliche Komponente des Sicherheitsprozesses ist die regelmäßige Überprüfung der getroffenen Maßnahmen. Alle Einflussfaktoren der IT-Sicherheit unterliegen der Veränderung. Dies betrifft gesetzliche Regelungen, technische Neuerungen und ganz besonders das Internet selbst. Es ist daher sehr wahrscheinlich, dass einzelne Maßnahmen nicht mehr erforderlich sind, angepasst oder neu erstellt werden müssen.
Anpassung
Mit der Anpassung schließt sich der Kreis zum „Prozess Sicherheit“. Ein gelebter Sicherheitsprozess ist die Garantie für ein hohes Niveau der IT-Sicherheit.
Autoren: Helmuth Hilse, Lars Nöcker und Thomas Reiche, MGID Mitteldeutsche Gesellschaft für Informationssicherheit und Datenschutz mbH
Ich möchte diesen Beitrag teilen