28.07.2023

IT-Security: Informationssicherheit und Risikomanagement

In diesem Beitrag wollen wir uns mit den weniger technischen Aspekten der IT-Sicherheit befassen: Informationssicherheitsmanagement und Risikomanagement. Wie Sie sehen werden, gibt es einige Aspekte der Informationssicherheit, die vor der Installation von Firewalls, Intrusion Detection Systemen oder anderen technischen Geräten bedacht werden müssen.

Ziel der Informationssicherheit

Das Ziel der Informationssicherheit ist es, die Vertraulichkeit, Intigrität und Verfügbarkeit Ihrer IT-Assets über deren Gesamtlebenszyklus zu gewährleisten. Experten für Informationssicherheit sollten daher in der Lage sein, Auswirkungen und Wahrscheinlichkeiten diverser Bedrohungsszenarien abzuschätzen und geeignete Schutzmaßnahmen entwickeln zu können.

Diese Maßnahmen müssen regelmäßig überprüft und ggf. angepasst werden.

Bedrohungen

In der professionellen IT-Sicherheit wird alles als Bedrohung angesehen, was einen der Faktoren Vertraulichkeit, Integrität oder Verfügbarkeit beeinträchtigt.

Hacker- und Phishing-Angriffe spielen dabei eine große Rolle und sind in den Medien sehr präsent. Neben diesen Angriffen gibt es jedoch viele weitere Szenarien und IT-Vorfälle, die Ihr Unternehmen direkt oder indirekt schädigen können. Neben den eigenen Mitarbeitenden rücken zunehmend auch Geschäftspartner in den Fokus. Denn eine vertrauensvolle Geschäftsbeziehung kann nur gewährleistet werden, wenn alle Beteiligten geeignete Schutzmaßnahmen für ihre IT installieren. IT-Audits durch Lieferanten oder Kunden sind daher keine Seltenheit. Es liegt auf der Hand, dass der IT-Schutz des Datenverarbeiters, der Ihre Daten verarbeitet, ein ähnliches oder höheres Niveau haben muss als das Ihres Unternehmens. Andernfalls sind Ihre Daten in Ihrem Unternehmen sicher, aber nicht bei Ihrem Dienstleister. Dies untergräbt letztlich Ihre eigenen Datenschutzbemühungen, denn es gibt keinen Datenschutz ohne Datensicherheit.

Dies führt erfreulicherweise dazu, dass die eigene IT-Sicherheit zunehmend als Investition in die eigene Reputation und nicht nur als lästiger Kostenfaktor gesehen wird.

Wer ist verantwortlich?

Wenn in Ihrem Unternehmen nicht klar geregelt ist, wer in welchem Umfang für die Sicherheit Ihrer IT verantwortlich ist, haben Sie einen guten ersten Einstieg in das Thema.

Denn für alles, was in Ihrem Unternehmen mit IT-Sicherheit zu tun hat, muss es einen Verantwortlichen geben.

Grundsätzlich ist jeder Ihrer Mitarbeitenden, Dienstleister und Kunden, der physisch oder virtuell Zugang zu Ihren IT-Systemen hat, für irgendeinen Aspekt der IT-Sicherheit verantwortlich.

Was muss geschützt werden?

Die zu schützenden Werte werden in der IT-Sicherheit unter dem Oberbegriff "Assets" zusammengefasst. Darunter versteht man grundsätzlich alle materiellen und immateriellen Güter, die einen Wert für Ihr Unternehmen haben. Dazu gehören Ihre Daten, Geräte und andere Komponenten, die mit Ihrer Datenverarbeitung in Verbindung stehen.

Diese Assets gilt es während ihres gesamten Lebenszyklus vor Missbrauch, unberechtigtem Zugriff, ungewollter Offenlegung und Diebstahl zu schützen.

IT Asset Management (ITAM)

Dazu müssen die Bestände zunächst katalogisiert werden. IT Asset Management (ITAM) ist für alle Aspekte der IT-Sicherheit von entscheidender Bedeutung, denn nur wer weiß, was er hat, kann es auch schützen. IT Asset Management umfasst den gesamten Lebenszyklus: Anforderung, Beschaffung, Implementierung, Wartung und Entsorgung.

Viele schwerwiegende IT-Vorfälle, über die man in der Zeitung liest, hätten vermieden werden können, wenn nur nichts vergessen worden wäre. Denn jedes große Problem war einmal ein kleines.

Risiko-Bewertung Ihrer Assets

Um geeignete Sicherheitskonzepte für Ihre Assets entwickeln zu können, müssen diese bewertet werden. Denn die Kosten für eine angemessene IT-Sicherheit müssen in einem angemessenen Verhältnis zum zu schützenden Asset stehen. Bei der Risikobewertung sind 3 Faktoren besonders wichtig:

• Threat: Welche Bedrohungen bestehen für ein bestimmtes Asset? Dies können z.B. IT-Angriffe, Naturkatastrophen, technisches oder menschliches Versagen sein.
• Vulnerability: Wie verwundbar ist ein Asset gegenüber dieser Bedrohungen?
• Impact: Welche Auswirkungen hat das Eintreten eines Vorfalls auf Ihr Unternehmen?

Risiko-Management Ihrer Assets

Mit den Daten aus der Risikobewertung können nun zwei weitere Entscheidungen getroffen werden. Erstens die Priorisierung der Assets und zweitens der Umgang mit bestimmten Risiken.

• Akzeptieren (Accept), das Risiko wird akzeptiert wie es ist und das Unternehmen ist bereit die Konsequenzen zu tragen.
• Transfer, das Risiko wird auf jemand anderen übertragen, zum Beispiel auf eine Versicherung durch den Abschluss einer Versicherung gegen Naturkatastrophen.
• Risikominderung (Mitigate), hierunter versteht man das Ergreifen von Maßnahmen, die das Risiko auf ein akzeptables Maß reduzieren. Dazu gehören z.B. die Erstellung von Backups, die Einrichtung von Redundanzsystemen wie USV, zusätzliche Netzteile, zusätzliche Festplatten oder die zusätzliche Sicherung durch Zäune, Alarmanlagen, Kameras und erweiterte Zugangskontrollen.
• Risikovermeidung (Avoid): Geschäftsprozesse oder Dienstleistungen, die eine Risikoquelle darstellen, werden eingestellt. Beispielsweise die Deaktivierung unsicherer und unverschlüsselter Protokolle wie POP3, SMTP oder FTP.

Fazit

Nur Unternehmen die wissen welche IT-Assets Sie, mit welchen Maßnahmen schützen müssen haben eine Chance die Reselienz Ihrer IT gegen Angriffe zu erhöhen. Neben den zu schützenden Assets spielen Mitarbeiter und Geschäftskunden eine wichtige Rolle.