IT-Sicherheit im Unternehmen - 25. Oktober 2013

Sie haben die Wahl

Die Absicherung der IT-Infrastruktur im Betrieb setzt eine Entscheidung der ­Unternehmensführung voraus. Und die Sicherheit vertraulicher Informationen ist ohne den bewussten Umgang mit vertraulichen Daten undenkbar.

Lange Zeit galt IT-Sicherheit vor allem als Herausforderung für einzelne Unternehmen. Wer Opfer von Cyber-Kriminalität wurde, erlitt einen Schaden. Die Auswirkungen waren für den Betroffenen mitunter dramatisch, aber sie waren in aller Regel begrenzt auf eine einzelne Organisation.
Die Dimensionen haben sich jedoch durch die Digitalisierung zentraler Bereiche der Wirtschaft und des öffentlichen Lebens verändert. IT-Sicherheit hat heute eine makroökonomische, systemische Bedeutung gewonnen, sie ist zum Standortfaktor geworden.

Cyber: Es geht um klassische IT-Sicherheit

Auch wenn viele Modewörter, die mit dem englischen Begriff Cyber beginnen, etwas anderes vermuten lassen: Es geht nach wie vor um die klassische IT-Sicherheit, die sich durch die Schutzziele der IT beschreiben lassen:

  • Vertraulichkeit (Schutz vor unbefugtem Informationsgewinn),
  • Integrität (Schutz vor unbefugter Modifikation von Informationen) und
  • Verfügbarkeit (Schutz vor Beeinträchtigung der Funktionalität).

Beim Thema IT-Sicherheit müssen alle drei Schutzziele berücksichtigt werden, wobei sie je nach Szenario und IT-System unterschiedlich gewichtet werden können. Dennoch muss ein verlässliches IT-System fähig sein, Vertraulichkeit, Integrität und Verfügbarkeit von Daten, Programmen und Geräten aufzubauen und zu erhalten.

Angriffsziel: das schwächste Glied in der Kette

Das größte Risiko für die Sicherheit von IT-Systemen sitzt noch immer vor dem Bildschirm.

Sicher­heit ist auch eine Art Wett­streit zwischen An­greifer und Unter­nehmen. Die Asym­metrie dieses Kräfte­messens ist dabei be­zeichnend: Der An­greifer muss nur eine einzige Schwach­stelle auf dem Weg zum Ziel­objekt finden, um an dessen Daten zu ge­langen.
Unter­nehmen haben die Heraus­forderung zu be­wältigen, dass sie selbst stets alle Schwach­stellen be­seitigen müssen. Es gilt: Der Grad der erreich­baren Sicher­heit verhält sich umge­kehrt pro­portional zur Ein­tritts­wahr­schein­lichkeit eines sicher­heits­rele­vanten Ereignisses. Mit anderen Worten: Hat ein Hacker-Angriff eine ein­prozentige Chance auf Erfolg, so liegt der Sicher­heits­grad bei 99 Prozent.
Sicherheit muss immer vom schwächsten Glied in der Kette gedacht werden: Es stellt keinen Zustand der Sicherheit dar, wenn die Mails zwar verschlüsselt, aber die Virenscanner nicht aktuell sind oder keine Firewall aktiv ist. Sicherheit lässt sich auch nicht delegieren. Nicht an einen (IT-) Mitarbeiter und nicht an einzelne technische Maßnahmen.
Die Sicherheit von Daten hängt vom Risikobewusstsein und einem bewussten Umgang mit Daten bei allen Mitarbeitern ab. Es kommt auf jeden Einzelnen an. Das gilt umso mehr, weil das größte Risiko für die Sicherheit von IT-Systemen noch immer vor dem Bildschirm sitzt.

Absolute Sicherheit gibt es nicht

Noch gefährlicher als ein Zustand der Unsicherheit ist vor allem eins: das unberechtigte Gefühl von Sicherheit. Ganz allgemein ­betrachtet kann man unter Sicherheit die Abwesenheit von ­Bedrohung oder Gefahr verstehen. Dabei schließen sich die Pole der Bedrohung und Sicherheit gegenseitig aus, die Unterscheidung ist binär.
Der Zustand absoluter Sicherheit gilt als ein Ideal, dem sich Systeme, Konzepte und Infrastrukturen zwar annähern können, der aber praktisch nie erreicht wird.
Da hundertprozentige Sicherheit Fiktion bleiben muss, zielen die Sicherheitsbemühungen in der Praxis darauf ab, das bestehende Restrisiko für das IT-System beherrschbar zu machen. Dabei müssen einerseits das Schutzbedürfnis und andererseits der Aufwand für die Sicherheitsanstrengungen berücksichtigt werden.
Sicherheit darf jedoch nicht als statischer Zustand verstanden werden, sondern ist als Prozess zu sehen. Daraus folgt: Um den Status quo eines Sicherheitszustandes zu erhalten, sind permanente Weiterentwicklungen und Anstrengungen nötig. Schließlich werden auch die Methoden der Angreifer immer besser.

IT-Risiken lassen sich managen

Der Einsatz von IT in Unternehmen birgt Risiken, die im Rahmen eines IT-Risikomanagements auf ein angemessenes Niveau reduziert werden sollten. Dabei kommt es insbesondere darauf an, die Risiken umfassend zu ermitteln und die Schutzmechanismen aus wirtschaftlichen Gründen nicht aufwendiger zu gestalten, als es das zulässige Risiko verlangt.
Die Auswahl und die Anwendung angemessener IT-Sicherheitsstandards ist ein Teil des ITSicherheitsmanagements. Hier ist es sinnvoll, auf bewährte Vorgehensweisen, die in Standards festgehalten sind, zurückzugreifen.
Standards wie die ISO 27001 können helfen, die sicherheitsrelevanten IT-Prozesse zum Vorteil des Unternehmens, der Kunden, der eigenen Produkte sowie der Mitarbeiter zu verbessern. Sie bieten Hilfestellung bei der Entwicklung von generischen Maßnahmen auf Managementebene bis zu detaillierten technischen Implementierungen an. Sie liefern Methoden für ein leistungsfähiges IT-Sicherheitsmanagement oder definieren die IT-Sicherheit von ausgewiesenen Produkten. Sie können sowohl eigenständig als auch methodisch eingebettet in ein anderes System fortlaufend betrieben werden.

Fazit

Am Beispiel der Sicherheitsstandards wird deutlich: IT-Sicherheit ist kein Zufall – weder in der Zeit vor noch in der Zeit nach Prism. Vielmehr ist IT-Sicherheit das Ergebnis einer bewussten Entscheidung des Managements eines Unternehmens.

Mehr dazu

Mehr DAZU

Weiter­führende Infor­mationen finden Sie unter „IT-Sicherheit“ und in unserem IT-Sicher­heits­blog für den Mittel­stand unter www.dsin-blog.de

Zum Autor

Marc Fliehe

IT-Sicherheits­experte des Dialog­kreises Infor­mations- und Cyber­sicher­heit bei BITKOM, dem Bundes­ver­band Infor­mations­wirt­schaft, Tele­kom­muni­kation und neue Medien e.V., Berlin

Weitere Artikel des Autors