Die Absicherung der IT-Infrastruktur im Betrieb setzt eine Entscheidung der Unternehmensführung voraus. Und die Sicherheit vertraulicher Informationen ist ohne den bewussten Umgang mit vertraulichen Daten undenkbar.
Lange Zeit galt IT-Sicherheit vor allem als Herausforderung für einzelne Unternehmen. Wer Opfer von Cyber-Kriminalität wurde, erlitt einen Schaden. Die Auswirkungen waren für den Betroffenen mitunter dramatisch, aber sie waren in aller Regel begrenzt auf eine einzelne Organisation.
Die Dimensionen haben sich jedoch durch die Digitalisierung zentraler Bereiche der Wirtschaft und des öffentlichen Lebens verändert. IT-Sicherheit hat heute eine makroökonomische, systemische Bedeutung gewonnen, sie ist zum Standortfaktor geworden.
Cyber: Es geht um klassische IT-Sicherheit
Auch wenn viele Modewörter, die mit dem englischen Begriff Cyber beginnen, etwas anderes vermuten lassen: Es geht nach wie vor um die klassische IT-Sicherheit, die sich durch die Schutzziele der IT beschreiben lassen:
- Vertraulichkeit (Schutz vor unbefugtem Informationsgewinn),
- Integrität (Schutz vor unbefugter Modifikation von Informationen) und
- Verfügbarkeit (Schutz vor Beeinträchtigung der Funktionalität).
Beim Thema IT-Sicherheit müssen alle drei Schutzziele berücksichtigt werden, wobei sie je nach Szenario und IT-System unterschiedlich gewichtet werden können. Dennoch muss ein verlässliches IT-System fähig sein, Vertraulichkeit, Integrität und Verfügbarkeit von Daten, Programmen und Geräten aufzubauen und zu erhalten.
Angriffsziel: das schwächste Glied in der Kette
Das größte Risiko für die Sicherheit von IT-Systemen sitzt noch immer vor dem Bildschirm.
Sicherheit ist auch eine Art Wettstreit zwischen Angreifer und Unternehmen. Die Asymmetrie dieses Kräftemessens ist dabei bezeichnend: Der Angreifer muss nur eine einzige Schwachstelle auf dem Weg zum Zielobjekt finden, um an dessen Daten zu gelangen.
Unternehmen haben die Herausforderung zu bewältigen, dass sie selbst stets alle Schwachstellen beseitigen müssen. Es gilt: Der Grad der erreichbaren Sicherheit verhält sich umgekehrt proportional zur Eintrittswahrscheinlichkeit eines sicherheitsrelevanten Ereignisses. Mit anderen Worten: Hat ein Hacker-Angriff eine einprozentige Chance auf Erfolg, so liegt der Sicherheitsgrad bei 99 Prozent.
Sicherheit muss immer vom schwächsten Glied in der Kette gedacht werden: Es stellt keinen Zustand der Sicherheit dar, wenn die Mails zwar verschlüsselt, aber die Virenscanner nicht aktuell sind oder keine Firewall aktiv ist. Sicherheit lässt sich auch nicht delegieren. Nicht an einen (IT-) Mitarbeiter und nicht an einzelne technische Maßnahmen.
Die Sicherheit von Daten hängt vom Risikobewusstsein und einem bewussten Umgang mit Daten bei allen Mitarbeitern ab. Es kommt auf jeden Einzelnen an. Das gilt umso mehr, weil das größte Risiko für die Sicherheit von IT-Systemen noch immer vor dem Bildschirm sitzt.
Absolute Sicherheit gibt es nicht
Noch gefährlicher als ein Zustand der Unsicherheit ist vor allem eins: das unberechtigte Gefühl von Sicherheit. Ganz allgemein betrachtet kann man unter Sicherheit die Abwesenheit von Bedrohung oder Gefahr verstehen. Dabei schließen sich die Pole der Bedrohung und Sicherheit gegenseitig aus, die Unterscheidung ist binär.
Der Zustand absoluter Sicherheit gilt als ein Ideal, dem sich Systeme, Konzepte und Infrastrukturen zwar annähern können, der aber praktisch nie erreicht wird.
Da hundertprozentige Sicherheit Fiktion bleiben muss, zielen die Sicherheitsbemühungen in der Praxis darauf ab, das bestehende Restrisiko für das IT-System beherrschbar zu machen. Dabei müssen einerseits das Schutzbedürfnis und andererseits der Aufwand für die Sicherheitsanstrengungen berücksichtigt werden.
Sicherheit darf jedoch nicht als statischer Zustand verstanden werden, sondern ist als Prozess zu sehen. Daraus folgt: Um den Status quo eines Sicherheitszustandes zu erhalten, sind permanente Weiterentwicklungen und Anstrengungen nötig. Schließlich werden auch die Methoden der Angreifer immer besser.
IT-Risiken lassen sich managen
Der Einsatz von IT in Unternehmen birgt Risiken, die im Rahmen eines IT-Risikomanagements auf ein angemessenes Niveau reduziert werden sollten. Dabei kommt es insbesondere darauf an, die Risiken umfassend zu ermitteln und die Schutzmechanismen aus wirtschaftlichen Gründen nicht aufwendiger zu gestalten, als es das zulässige Risiko verlangt.
Die Auswahl und die Anwendung angemessener IT-Sicherheitsstandards ist ein Teil des ITSicherheitsmanagements. Hier ist es sinnvoll, auf bewährte Vorgehensweisen, die in Standards festgehalten sind, zurückzugreifen.
Standards wie die ISO 27001 können helfen, die sicherheitsrelevanten IT-Prozesse zum Vorteil des Unternehmens, der Kunden, der eigenen Produkte sowie der Mitarbeiter zu verbessern. Sie bieten Hilfestellung bei der Entwicklung von generischen Maßnahmen auf Managementebene bis zu detaillierten technischen Implementierungen an. Sie liefern Methoden für ein leistungsfähiges IT-Sicherheitsmanagement oder definieren die IT-Sicherheit von ausgewiesenen Produkten. Sie können sowohl eigenständig als auch methodisch eingebettet in ein anderes System fortlaufend betrieben werden.
Fazit
Am Beispiel der Sicherheitsstandards wird deutlich: IT-Sicherheit ist kein Zufall – weder in der Zeit vor noch in der Zeit nach Prism. Vielmehr ist IT-Sicherheit das Ergebnis einer bewussten Entscheidung des Managements eines Unternehmens.
Mehr dazu
Mehr DAZU
Weiterführende Informationen finden Sie unter „IT-Sicherheit“ und in unserem IT-Sicherheitsblog für den Mittelstand unter www.dsin-blog.de