IT-Sicherheit gehört ins Zentrum des Unternehmens

 In Devops

IT-Sicherheit gehört ins Zentrum des Unternehmens

Vernetzung und Digitalisierung schaffen Chancen für Management, Produktion und Mitarbeiter. Doch auch für Hacker und Cyber-Kriminelle tun sich neue Schnittstellen auf, in die IT-Infrastruktur von Unternehmen einzudringen. Das verlangt nach ganzheitlichen Sicherheitskonzepten und einem Umdenken in einem wichtigen Punkt: IT-Security und Compliance müssen künftig im gesamten Unternehmen verankert werden. Die Zeiten, in denen die Verantwortung nur bei der IT-Abteilung lag, sind definitiv vorbei.

Die Digitalisierung gilt als Megatrend innerhalb der deutschen Wirtschaft. Neben den großen “Playern” wird das Thema auch für kleine und mittelständische Unternehmen zunehmend relevanter. Mehr als zwei Drittel der deutschen Mittelständler verfügen laut einer Umfrage der Unternehmensberatung Deloitte bereits über eine dezidierte Digitalisierungsstrategie. Die Chancen sind offensichtlich: Schnellere Prozesse, ein besserer Informationsfluss und unterm Strich geringere Kosten machen die Vernetzung des eigenen Betriebes zu einem hoch attraktiven Projekt. Doch bei all den Chancen lauern auch hier deutliche Risiken.

Die digitale Bereitstellung unternehmensrelevanter Daten und die Vernetzung aller Mitarbeiter über eine Vielzahl an Tools und Devices – intern wie extern – schaffen durch zahlreiche Schnittstellen auch zahlreiche Einfallstore für Angreifer.

Deliktfeld Cybercrime

Das Risiko, Opfer eines Cyberangriffes zu werden, ist hoch und steigt kontinuierlich. Ein kurzer Blick in das Bundeslagebild Cybercrime 2015 des BKA belegt: Selbst wenn die Aufklärungsquote von Verbrechen im Cyberraum leicht angestiegen ist, nimmt die Anzahl derartiger Delikte deutlich stärker zu.

Die Sorgen, die der Bericht äußert, werden von vielen Unternehmen bisher noch nicht geteilt. Wer jedoch mit Verantwortlichen aus dem IT-Bereich spricht, erhält oft die Antwort, dass es im Grunde zwei Arten von Firmen gibt: Diejenigen, die wissen, dass sie angegriffen wurden und diejenigen, die es eben nicht wissen.

Bei einer erfolgreich durchgeführten Industrie- oder Wirtschaftsspionage droht Unternehmen dabei ein immenser wirtschaftlicher Schaden: Daten gehen verloren, Produkte werden plagiiert, Kunden werden abgeworben, sensible Daten dringen nach außen und als Folge leidet am Ende immer auch die eigene Reputation.

All diese Gefahren verlangen vor allem danach, das Bewusstsein für das Thema IT-Sicherheit zu schärfen und es auf die Agenda der Unternehmen zu bringen. Dabei gilt: Auf mögliche Vorfälle sollte auch immer individuell reagiert werden: Ein pathologischer Vorfall – zum Beispiel eine Pishing-Attacke – muss anders behandelt werden als ein hochspezialisierter – und damit meist ein gezielter – Einfall von Profi-Hackern. Sicherheit ist daher auch immer eine Frage von Flexibilität.

Eine Frage der Verantwortung

Verfügbarkeit, Integrität, Vertraulichkeit – diese drei Faktoren gelten allgemeinhin als Grundpfeiler für Unternehmen im Umgang mit internen Informationen, egal ob sie in analogen oder digitalen Systemen zu finden sind.

Für Dr. Michael Münch, dem zuständigen Bereichsleiter für Informationssicherheit und Datenschutz der InterFace AG, steht fest: “Die Gesamtverantwortung liegt unmissverständlich beim Management. Wer die Verantwortung über Compliance-Prozesse, Informations- und IT-Sicherheit in die alleinigen Hände seiner IT-Abteilung legt, läuft Gefahr, Ebenen innerhalb des Unternehmens auszuschließen, die von Security-Fragen genauso betroffen sind, aber jenseits der Einflusssphäre dieser IT liegen.”

byod_if

Immer mehr Mitarbeiter bringen ihre eigenen Geräte mit ins Firmennetzwerk – kein Problem, solange die Sicherheitsrichtlinien eingehalten werden.

Für den IT-Security-Experten muss Sicherheit folglich Teil der Unternehmenskultur werden und alle Ebenen mit einschließen. Ganzheitliche Ansätze – von der Türschließanlage, über das VPN bis hin zum Rechenzentrum – sind hier gefragt. Münch empfiehlt deshalb in seiner Funktion als Berater und Coach einen ganzheitlichen Ansatz, der die vollständige Verankerung von Sicherheit und Compliance im gesamten Unternehmen zum Ziel hat.

Standards einhalten

Dieser Ansatz bezieht insbesondere auch die oberste Führungsebene ein und orientiert sich eng an den Bestimmungen der ISO 27001, die die Anforderungen für Herstellung, Einführung, Betrieb, Überwachung, Wartung und Verbesserung einer erfolgreichen Informations- und IT-Sicherheit umfasst.

Konkret sollte laut Münch im Rahmen einer Beratung zunächst überprüft werden, ob es Defizite gibt und an welcher Stelle eine Nachbesserung erfolgen muss. In dieser ersten Phase werden einzelne IT-Projekte analysiert und passende Sicherheitskonzepte erstellt.

Die Basis bilden dabei Risikoanalyse, Bedrohungsanalyse sowie eine Analyse der Schwachstellen des Systems. Das Ergebnis dient im Anschluss als Basis für die Entwicklung einer ganzheitlichen Strategie, bei der die “Learnings” aus der ersten Phase behutsam auf die weiteren Unternehmensebenen übertragen werden. Am Ende eines solchen “Bottom-Up”-Ansatzes steht schließlich die Implementation der neuen Strategie in die gesamte Unternehmenskultur.

Diese Methode fußt auf dem Glaubenssatz, dass die individuellen Bedürfnisse des Kunden nur berücksichtigt werden können, wenn die Lösungen innerhalb des Unternehmens gesucht und gefunden werden. Dieser partnerschaftliche Ansatz setzt konsequenterweise auf fruchtbare Dialoge zwischen den IT-Beratungsunternehmen und ihren Kunden.

Dabei steht für Münch fest: “Jede Firma – egal welcher Größe – muss unterschiedliche Herausforderungen bewältigen, um IT-Security sinnvoll umzusetzen. Gerade deshalb müssen die Lösungen aus dem Unternehmen selbst geboren werden.”

Kompetenz ist Trumpf

Generell empfiehlt die InterFace AG ihren Kunden, an allen relevanten Stellen im Unternehmen anzusetzen und konsequent prozessorientiert zu agieren. Zunächst steht hierfür ein ausführliches Assessment an oberster Stelle auf der Agenda. Dieses dient in erster Linie dazu, das aktuelle Informationssicherheitsniveau einer Organisation einzuschätzen und bevorstehende Ziele zu artikulieren, basierend auf den Forderungen von ISO 27001 oder vergleichbaren anerkannten Standards wie z.B. ISIS12. Die Analyse erfolgt mit Hilfe eines Fragebogens und einer Begehung vor Ort. Das Assessment dient nicht nur zum Aufzeigen von Defiziten des eigenen Sicherheitsmanagements, sondern gleichzeitig der Entwicklung von Handlungsempfehlungen, deren Umsetzung kontinuierlich begleitet wird.

Besonderes Augenmerk liegt dabei auf der Qualifikation der eingesetzten Mitarbeiter. Für Michael Münch steht fest, dass es für die Durchführung und Überwachung von IT-Security hochspezialisierter Berater bedarf. Als absolutes Gütekriterium gilt die sogenannte CISSP-Zertifizierung. Bei CISSP handelt es sich um ein international anerkanntes Zertifikat für Informationssicherheit, dessen international gültigen Sicherheitsrichtlinien weltweit eine der höchsten Reputationen genießen. Spezialisten mit CISSP-Zertifikat verfügen demnach über detaillierte Kenntnisse und einschlägige Projekterfahrungen.

server_if

“Die Implementation einer Sicherheitskultur ist essentiell für die Nachhaltigkeit der angewandten Maßnahmen. Ohne die organisatorische Verankerung beraubt sich ein Unternehmen langfristig der Möglichkeit, Sicherheitsvorfälle bezüglich ihrer Wahrscheinlichkeit, Intensität und Schadhaftigkeit korrekt einschätzen zu können”, betont Münch. Nur so könnten geeignete Maßnahmen gefunden werden, um Vorfällen im besten Fall präventiv, detektiv und korrektiv zu begegnen.

Die Leistungen, die Unternehmensberatungen wie die InterFace AG anbieten, können natürlich nicht nur für das “Große Ganze”, sondern auch für einzelne IT-Projekte herangezogen werden. Das Prozedere bleibt im Grunde immer dasselbe: Zu Beginn eines Projektes erfolgt eine sogenannte “Kritikalitätseinschätzung”, also eine Analyse darüber, welche Sicherheitsanforderungen erfüllt und welche Maßnahmen ergriffen werden müssen, um den gesetzlichen und vertraglichen Vorgaben zu genügen. Die Erstellung und Instandhaltung des Sicherheitskonzeptes erfolgt kontinuierlich über die gesamte Lebensdauer des Projektes. Ein ausgewählter Security-Manager ist während des Projektes für die Compliance (Rechtmäßigkeit) der zu erstellenden IT-Lösung verantwortlich.

Compliance entscheidet über langfristigen Erfolg

Ein IT-Sicherheitskonzept kann ohne ganzheitliche Compliance-Richtlinien nicht fruchten. Demnach darf die Organisation und Umsetzung von Informations- und IT-Sicherheit im Unternehmen nicht an die IT-Abteilung ausgelagert werden. Sicherheitspolitik muss also immer eine Frage des Managements bleiben. Allumfassende Compliance-Richtlinien müssen von oben eingesetzt, vorgelebt und auf jeder Ebene eingehalten und durchgesetzt werden.

Je nach Branche und Größe braucht es zudem Reglementierungen, die das Sicherheitsrisiko minimieren. Angefangen bei Bleistift und Papier, über das (eigene) Tablet eines Mitarbeiters bis hin zu komplexer IT-Hard- oder Software gilt für Münch: “Die beste IT hilft gar nichts, wenn die Menschen, die damit arbeiten, nicht richtig geschult sind und wenn die Strukturen im Unternehmen nicht mit dem Leitbild des individuell erstellten IT-Sicherheitskonzepts harmonieren.”

Daraus lässt sich zumindest eine goldene Regel der IT-Sicherheit aufstellen: Der große Nutzen, der sich aus der Digitalisierung ergibt, geht mit ebenso großen Verpflichtungen einher.


Autor: Redaktion InterFace AG in Zusammenarbeit mit Michael Münch
Bildquelle: Shutterstock
Veröffentlicht: 8. Dezember 2016