Fachartikel, 07.11.2006
IT-Sicherheit
Information Security Management schließt die Sicherheitslücken
Abseits der allgemeinen Bedrohungen mangelnder IT-Sicherheit müssen die Bestimmungen des Sarbanes Oxley Acts, Basel II und das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) eingehalten werden. In komplexen Unternehmensnetzwerken kann Sicherheit nur noch über organisationsweite Ansätze und durch kompetente Experten hergestellt werden. Marktstandards wie das Grundschutzhandbuch des Bundesamtes für Sicherheit in der Informationstechnik (BSI GsHb) oder der British Standard BS 7799 (ISO 17799) bieten dabei eine gute Orientierung, um ein effektives Security-Management einzuführen.
Durch KonTraG sind Unternehmen verpflichtet, ein angemessenes Risikomanagement sowie ein internes Überwachungssystem zu etablieren. Kommt es zu einer Unternehmenskrise, muss der Vorstand nachweisen, dass er Maßnahmen zur Risikofrüherkennung und -abwehr getroffen hat. Die gesetzlichen Bestimmungen zur Informationssicherheit enthalten neben diversen betriebswirtschaftlichen Vorgaben auch solche über die Verfügbarkeit von Daten, ihre Integrität und Nachhaltigkeit, sowie über das IT-Risikomanagement. Computacenter hilft betroffenen Unternehmen, diese Vorgaben zu interpretieren, konkrete Maßstäbe daraus abzuleiten und die abstrakten Vorschriften in die Praxis umzusetzen.
Denn der Zusammenhang zwischen betriebswirtschaftlichen Anforderungen und deren Auswirkungen auf die IT und die Informationssicherheit ist den Unternehmen oft unklar. Außerdem erfordert gerade die Umsetzung eine definierte Kommunikation zwischen den beteiligten Unternehmensbereichen, wie beispielsweise IT- und Finanzabteilung, die oftmals nicht stattfindet. Computacenter berücksichtigt in einem Information Security Management sowohl technische und organisatorische als auch betriebswirtschaftliche Zusammenhänge.
Bewertung der Schwachstellen im Sicherheitssystem
Oft deckt eine erste Prüfung schon auf, was für die Sicherheit getan werden kann: ob geeignete Notfallkonzepte existieren oder ob diese neu aufgesetzt werden müssen. Für eine detaillierte Untersuchung stehen eine Reihe von anerkannten Standards bereit, entlang derer Computacenter die Schwachstellenanalyse des Sicherheitssystems durchführt. Diese Analyse erfolgt entweder mittels Top-Down- oder Bottom-Up-Ansatz. Im Rahmen des Top-Down-Ansatzes führt der IT-Dienstleister zum Beispiel einen Security Quick Check durch. Dieser liefert einen Überblick über den aktuellen Stand der Informationssicherheit analog zum BS 7799, ist schnell durchzuführen, informativ und übersichtlich. Das Ergebnis kann dann beispielsweise durch ein Spiderweb-Diagramm visualisiert werden.
Beim Bottom-Up-Ansatz wird die Analyse der IT-Sicherheit mit Hilfe von technischen Werkzeugen durchgeführt. Diese prüfen die Konsistenz und Einhaltung von Security Policies, simulieren Angriffe aus dem Internet und ermitteln Schwachstellen des Netzwerkes und seiner Komponenten. In beiden Fällen liefert die Bewertung der Ergebnisse eine reproduzierbare Skala, mit der Sicherheit messbar wird.
Die Basis des Sicherheitssystems eines Unternehmens bildet der Richtlinienkatalog, die sogenannten Security Policies, den Computacenter auf drei Detaillierungsebenen mit seinen Kunden erarbeitet. Auf der strategischen Seite definiert das Management Vorschriften für die Informationssicherheit und benennt die Verantwortlichen. Der konkrete Umgang mit E-Mails, Verhaltensregeln für den Notfall oder die Ausbildung der Mitarbeiter für den Security-Bereich sind Beispiele für Richtlinien, die auf der konzeptionellen Ebene festgelegt werden. Die operative Ebene dient der Beschreibung produktspezifischer Vorschriften und Verfahrensanweisungen für die Implementierung, den Betrieb und die Wartung von IT-Infrastrukturen.
Schutzbedarf von Geschäftsprozessen
Eine hohe Informationssicherheit setzt zwar an technischen und organisatorischen Strukturen an, betrifft aber immer auch die Geschäftsprozesse. Dass hier der eigentliche Schutzbedarf liegt, wird spätestens dann spürbar, wenn wirtschaftlicher Schaden, beispielsweise durch eine Verletzung von Gesetzen und Vorschriften, entstanden ist. Vertraulichkeit, Verfügbarkeit und Integrität der Prozesse sind daher wichtige Maßstäbe, die Computacenter mit seinen Kunden auf verschiedenen Prozessebenen definiert und damit den Schutzbedarf der Geschäftsprozesse quantifizierbar macht.
Durch die Dokumentation von Unternehmensstrukturen und Abläufen wird die Kontrolle der Sicherheitsrisiken erleichtert und die Basis für ein Business Continuity Management geschaffen. Die Überprüfung des Unternehmens nach BS 7799 liefert eine Mängelliste, aus der abgeleitet werden kann, welche Security-Projekte für eine erfolgreiche Zertifizierung durchgeführt werden müssen. Dabei kann es sich beispielsweise um Maßnahmen zur risikobezogenen Netztrennung, die Realisierung einer IT-Quarantänezone oder den Aufbau einer Public Key Infrastructure handeln.
Orientiert an anerkannten Standards wie BS 7799, auf den sich auch ITIL bezieht, lässt sich ein Information Security Management am effektivsten einführen. Gemeinsam mit dem TÜV Rheinland bietet Computacenter die Zertifizierung nach dem Britsh Standard an. Gerade im Hinblick auf eine mögliche Beurteilung nach Basel II oder dem Sarbanes Oxley Act wird die Position des Unternehmens dadurch gestärkt. Zudem ist eine Zertifizierung wichtiger Bestandteil für den Nachweis, der Sorgfaltspflicht im Sinne des KonTraG genüge getan zu haben.
- - - - - - - - - - - - - - - - - - - - - - - - - - -
Autor: Thomas Triebel, Leiter des Competence Centers Information Security Management bei Computacenter in München.
Durch KonTraG sind Unternehmen verpflichtet, ein angemessenes Risikomanagement sowie ein internes Überwachungssystem zu etablieren. Kommt es zu einer Unternehmenskrise, muss der Vorstand nachweisen, dass er Maßnahmen zur Risikofrüherkennung und -abwehr getroffen hat. Die gesetzlichen Bestimmungen zur Informationssicherheit enthalten neben diversen betriebswirtschaftlichen Vorgaben auch solche über die Verfügbarkeit von Daten, ihre Integrität und Nachhaltigkeit, sowie über das IT-Risikomanagement. Computacenter hilft betroffenen Unternehmen, diese Vorgaben zu interpretieren, konkrete Maßstäbe daraus abzuleiten und die abstrakten Vorschriften in die Praxis umzusetzen.
Denn der Zusammenhang zwischen betriebswirtschaftlichen Anforderungen und deren Auswirkungen auf die IT und die Informationssicherheit ist den Unternehmen oft unklar. Außerdem erfordert gerade die Umsetzung eine definierte Kommunikation zwischen den beteiligten Unternehmensbereichen, wie beispielsweise IT- und Finanzabteilung, die oftmals nicht stattfindet. Computacenter berücksichtigt in einem Information Security Management sowohl technische und organisatorische als auch betriebswirtschaftliche Zusammenhänge.
Bewertung der Schwachstellen im Sicherheitssystem
Oft deckt eine erste Prüfung schon auf, was für die Sicherheit getan werden kann: ob geeignete Notfallkonzepte existieren oder ob diese neu aufgesetzt werden müssen. Für eine detaillierte Untersuchung stehen eine Reihe von anerkannten Standards bereit, entlang derer Computacenter die Schwachstellenanalyse des Sicherheitssystems durchführt. Diese Analyse erfolgt entweder mittels Top-Down- oder Bottom-Up-Ansatz. Im Rahmen des Top-Down-Ansatzes führt der IT-Dienstleister zum Beispiel einen Security Quick Check durch. Dieser liefert einen Überblick über den aktuellen Stand der Informationssicherheit analog zum BS 7799, ist schnell durchzuführen, informativ und übersichtlich. Das Ergebnis kann dann beispielsweise durch ein Spiderweb-Diagramm visualisiert werden.
Beim Bottom-Up-Ansatz wird die Analyse der IT-Sicherheit mit Hilfe von technischen Werkzeugen durchgeführt. Diese prüfen die Konsistenz und Einhaltung von Security Policies, simulieren Angriffe aus dem Internet und ermitteln Schwachstellen des Netzwerkes und seiner Komponenten. In beiden Fällen liefert die Bewertung der Ergebnisse eine reproduzierbare Skala, mit der Sicherheit messbar wird.
Die Basis des Sicherheitssystems eines Unternehmens bildet der Richtlinienkatalog, die sogenannten Security Policies, den Computacenter auf drei Detaillierungsebenen mit seinen Kunden erarbeitet. Auf der strategischen Seite definiert das Management Vorschriften für die Informationssicherheit und benennt die Verantwortlichen. Der konkrete Umgang mit E-Mails, Verhaltensregeln für den Notfall oder die Ausbildung der Mitarbeiter für den Security-Bereich sind Beispiele für Richtlinien, die auf der konzeptionellen Ebene festgelegt werden. Die operative Ebene dient der Beschreibung produktspezifischer Vorschriften und Verfahrensanweisungen für die Implementierung, den Betrieb und die Wartung von IT-Infrastrukturen.
Schutzbedarf von Geschäftsprozessen
Eine hohe Informationssicherheit setzt zwar an technischen und organisatorischen Strukturen an, betrifft aber immer auch die Geschäftsprozesse. Dass hier der eigentliche Schutzbedarf liegt, wird spätestens dann spürbar, wenn wirtschaftlicher Schaden, beispielsweise durch eine Verletzung von Gesetzen und Vorschriften, entstanden ist. Vertraulichkeit, Verfügbarkeit und Integrität der Prozesse sind daher wichtige Maßstäbe, die Computacenter mit seinen Kunden auf verschiedenen Prozessebenen definiert und damit den Schutzbedarf der Geschäftsprozesse quantifizierbar macht.
Durch die Dokumentation von Unternehmensstrukturen und Abläufen wird die Kontrolle der Sicherheitsrisiken erleichtert und die Basis für ein Business Continuity Management geschaffen. Die Überprüfung des Unternehmens nach BS 7799 liefert eine Mängelliste, aus der abgeleitet werden kann, welche Security-Projekte für eine erfolgreiche Zertifizierung durchgeführt werden müssen. Dabei kann es sich beispielsweise um Maßnahmen zur risikobezogenen Netztrennung, die Realisierung einer IT-Quarantänezone oder den Aufbau einer Public Key Infrastructure handeln.
Orientiert an anerkannten Standards wie BS 7799, auf den sich auch ITIL bezieht, lässt sich ein Information Security Management am effektivsten einführen. Gemeinsam mit dem TÜV Rheinland bietet Computacenter die Zertifizierung nach dem Britsh Standard an. Gerade im Hinblick auf eine mögliche Beurteilung nach Basel II oder dem Sarbanes Oxley Act wird die Position des Unternehmens dadurch gestärkt. Zudem ist eine Zertifizierung wichtiger Bestandteil für den Nachweis, der Sorgfaltspflicht im Sinne des KonTraG genüge getan zu haben.
- - - - - - - - - - - - - - - - - - - - - - - - - - -
Autor: Thomas Triebel, Leiter des Competence Centers Information Security Management bei Computacenter in München.
ZUM AUTOR
Über Computacenter AG & Co. oHG
Computacenter ist Europas führender herstellerübergreifender Dienstleister für Informationstechnologie. Kundennähe bedeutet für uns, Geschäftsanforderungen zu verstehen und präzise darauf einzugehen. Auf dieser Basis entwickeln, implementieren und betreiben wir für unsere Kunden maßgeschneiderte ...
+49-2273- 5970
Pressefach von Computacenter AG & Co. oHGWEITERE ARTIKEL DIESES AUTORS
ANDERE ARTIKEL AUS DIESEM RESSORT
SUCHE 
Anzeige
PRESSEFORUM MITTELSTAND
Anzeige
BRANCHENVERZEICHNIS
PR-DIENSTLEISTERVERZEICHNIS
BUSINESS-SERVICES
Business Forum
Presseportal
PR-Welt
Branchenverzeichnis
PR-Dienstleisterverzeichnis
Kooperationsbörse
Presseportal
PR-Welt
Branchenverzeichnis
PR-Dienstleisterverzeichnis
Kooperationsbörse
Wissen und Praxis
Nachrichten
Fachartikel
Kolumnen
Interviews
Themenportale
Leitfäden
Mustervorlagen
Nachrichten
Fachartikel
Kolumnen
Interviews
Themenportale
Leitfäden
Mustervorlagen
© novo per motio KG