In diesem Beitrag wollen wir uns mit den weniger technischen Aspekten der IT-Sicherheit befassen: Informationssicherheitsmanagement und Risikomanagement. Wie Sie sehen werden, gibt es einige Aspekte der Informationssicherheit, die vor der Installation von Firewalls, Intrusion Detection Systemen oder anderen technischen Geräten bedacht werden müssen.
Das Ziel der Informationssicherheit ist es, die Vertraulichkeit, Intigrität und Verfügbarkeit Ihrer IT-Assets über deren Gesamtlebenszyklus zu gewährleisten. Experten für Informationssicherheit sollten daher in der Lage sein, Auswirkungen und Wahrscheinlichkeiten diverser Bedrohungsszenarien abzuschätzen und geeignete Schutzmaßnahmen entwickeln zu können.
Diese Maßnahmen müssen regelmäßig überprüft und ggf. angepasst werden.
In der professionellen IT-Sicherheit wird alles als Bedrohung angesehen, was einen der Faktoren Vertraulichkeit, Integrität oder Verfügbarkeit beeinträchtigt.
Hacker- und Phishing-Angriffe spielen dabei eine große Rolle und sind in den Medien sehr präsent. Neben diesen Angriffen gibt es jedoch viele weitere Szenarien und IT-Vorfälle, die Ihr Unternehmen direkt oder indirekt schädigen können. Neben den eigenen Mitarbeitenden rücken zunehmend auch Geschäftspartner in den Fokus. Denn eine vertrauensvolle Geschäftsbeziehung kann nur gewährleistet werden, wenn alle Beteiligten geeignete Schutzmaßnahmen für ihre IT installieren. IT-Audits durch Lieferanten oder Kunden sind daher keine Seltenheit. Es liegt auf der Hand, dass der IT-Schutz des Datenverarbeiters, der Ihre Daten verarbeitet, ein ähnliches oder höheres Niveau haben muss als das Ihres Unternehmens. Andernfalls sind Ihre Daten in Ihrem Unternehmen sicher, aber nicht bei Ihrem Dienstleister. Dies untergräbt letztlich Ihre eigenen Datenschutzbemühungen, denn es gibt keinen Datenschutz ohne Datensicherheit.
Dies führt erfreulicherweise dazu, dass die eigene IT-Sicherheit zunehmend als Investition in die eigene Reputation und nicht nur als lästiger Kostenfaktor gesehen wird.
Wenn in Ihrem Unternehmen nicht klar geregelt ist, wer in welchem Umfang für die Sicherheit Ihrer IT verantwortlich ist, haben Sie einen guten ersten Einstieg in das Thema.
Denn für alles, was in Ihrem Unternehmen mit IT-Sicherheit zu tun hat, muss es einen Verantwortlichen geben.
Grundsätzlich ist jeder Ihrer Mitarbeitenden, Dienstleister und Kunden, der physisch oder virtuell Zugang zu Ihren IT-Systemen hat, für irgendeinen Aspekt der IT-Sicherheit verantwortlich.
Die zu schützenden Werte werden in der IT-Sicherheit unter dem Oberbegriff "Assets" zusammengefasst. Darunter versteht man grundsätzlich alle materiellen und immateriellen Güter, die einen Wert für Ihr Unternehmen haben. Dazu gehören Ihre Daten, Geräte und andere Komponenten, die mit Ihrer Datenverarbeitung in Verbindung stehen.
Diese Assets gilt es während ihres gesamten Lebenszyklus vor Missbrauch, unberechtigtem Zugriff, ungewollter Offenlegung und Diebstahl zu schützen.
Dazu müssen die Bestände zunächst katalogisiert werden. IT Asset Management (ITAM) ist für alle Aspekte der IT-Sicherheit von entscheidender Bedeutung, denn nur wer weiß, was er hat, kann es auch schützen. IT Asset Management umfasst den gesamten Lebenszyklus: Anforderung, Beschaffung, Implementierung, Wartung und Entsorgung.
Viele schwerwiegende IT-Vorfälle, über die man in der Zeitung liest, hätten vermieden werden können, wenn nur nichts vergessen worden wäre. Denn jedes große Problem war einmal ein kleines.
Um geeignete Sicherheitskonzepte für Ihre Assets entwickeln zu können, müssen diese bewertet werden. Denn die Kosten für eine angemessene IT-Sicherheit müssen in einem angemessenen Verhältnis zum zu schützenden Asset stehen. Bei der Risikobewertung sind 3 Faktoren besonders wichtig:
Mit den Daten aus der Risikobewertung können nun zwei weitere Entscheidungen getroffen werden. Erstens die Priorisierung der Assets und zweitens der Umgang mit bestimmten Risiken.
Nur Unternehmen die wissen welche IT-Assets Sie, mit welchen Maßnahmen schützen müssen haben eine Chance die Reselienz Ihrer IT gegen Angriffe zu erhöhen. Neben den zu schützenden Assets spielen Mitarbeiter und Geschäftskunden eine wichtige Rolle.