ISMS/Umsetzungsbereiche
topic - Beschreibung
Beschreibung
Zur Sensibilisierung für die Gefahren im Bereich der IT-Sicherheit und um mögliche Gegenmaßnahmen aufzuzeigen, existieren in Deutschland einige Initiativen.
- Dazu zählen der Cyber-Sicherheitsrat Deutschland e. V., der Verein Deutschland sicher im Netz, die Allianz für Cyber-Sicherheit und die Sicherheitskooperation Cybercrime.
Privathaushalte
Programmierfehler in fast jeder Software machen es quasi unmöglich, Sicherheit vor jeder Art von Angriffen zu erreichen.
- Durch den Anschluss von Computern mit sensiblen Daten (zum Beispiel Homebanking, Bearbeitung der Dissertation) an das Internet sind diese Schwachstellen auch von außen nutzbar.
- Der Standard an IT-Sicherheit in Privathaushalten ist geringer, da kaum ausreichende Maßnahmen zur Absicherung der Infrastruktur (zum Beispiel unterbrechungsfreie Stromversorgung, Einbruchsschutz) ergriffen werden.
Aber auch in anderen Bereichen besteht in privaten Haushalten weiterhin ein Defizit.
Viele private Benutzer haben noch nicht verstanden, dass es wichtig ist, die Konfiguration der genutzten Software an die jeweiligen Bedürfnisse anzupassen.
- So ist es bei vielen an das Internet angeschlossenen Rechnern nicht nötig, dass auf ihnen Server-Programme laufen.
- Server-Dienste werden von vielen Betriebssystemen in der Standardinstallation geladen; mit deren Deaktivierung schließt man eine Reihe wichtiger Angriffspunkte.
Sicherheitsaspekte wie zum Beispiel die Einrichtung von Zugriffsbeschränkungen sind vielen Benutzern ebenfalls fremd.
- Außerdem ist es von Bedeutung, sich über Schwachstellen in der eingesetzten Software zu informieren und regelmäßig Aktualisierungen einzuspielen.
Zur Computersicherheit gehört nicht nur der präventive Einsatz technischer Werkzeuge wie beispielsweise Firewalls, Intrusion-Detection-Systeme etc., sondern auch ein organisatorischer Rahmen in Form durchdachter Grundsätze (Policy, Strategie), die den Menschen als Anwender der Werkzeuge in das System einbezieht.
- Allzu oft gelingt es Hackern, durch Ausnutzung eines zu schwachen Kennworts oder durch sogenanntes Social Engineering Zugang zu sensiblen Daten zu erlangen.
Sparkassen und Banken
Zur Beschleunigung des Prozesses und Hervorhebung der Wichtigkeit haben unter anderem die Ergebnisse von Basel II, die Vorschriften von BaFin und des KWG sowie der einzelnen Verbandsrevisionen der Sparkassen und Banken beigetragen.
- Verstärkt werden sowohl externe als auch interne Prüfungen auf dieses Thema ausgelegt.
- Gleichzeitig entstand ein umfangreiches Dienstleistungsangebot zur Durchführung verschiedener Projekte, die einen IT-Sicherheitsprozesses in Unternehmen etablieren sollen.
- Anbieter sind sowohl innerhalb der jeweiligen Unternehmensgruppe als auch auf dem externen Markt zu finden.
- Bei anderen Finanzdienstleistungsinstituten, Versicherungsunternehmen und den Unternehmen des Wertpapierhandels wird das Konzept im Allgemeinen identisch sein, wobei hier zum Beispiel auch andere Gesetze eine Rolle spielen können.
Siehe auch|Krisenreaktionszentrum für IT-Sicherheit der Deutschen Versicherungswirtschaft
Unternehmen
Auch wenn die Gesetzgebungen und Prüfungen in anderen Sektoren der Wirtschaft weniger Vorgaben macht, behält die IT-Sicherheit ihren hohen Stellenwert.
- Hilfestellungen gewähren die kostenfreien IT-Grundschutz-Kataloge des BSI.
Durch die zunehmende Vernetzung verschiedener Niederlassungen z. B. bei Firmenzukäufen gewinnt eine Absicherung der IT-Systeme größere Bedeutung.
- Durch die Datenübertragung aus einem internen, geschlossenen Netzwerk über eine externe, öffentliche Verbindung zum anderen Standort entstehen risikobehaftete Situationen.
- Die Auswirkungen für Unternehmen sind u. a.
- Verlust von Daten
- Manipulation von Daten
- unzuverlässiger Empfang von Daten
- verspätete Verfügbarkeit von Daten
- Abkopplung von Systemen für das operative Geschäft
- unzulässige Verwertung von Daten
- fehlende Entwicklungsfähigkeit der eingesetzten Systeme
- Die Gefahr liegt nicht nur im firmeninternen Datenaustausch
- Zunehmend werden Anwendungen direkt zu den Nutzern übertragen, oder externe Mitarbeiter und outgesourcte Dienstleister können auf interne Daten zugreifen und diese bearbeiten und verwalten.
- Dies erfordert entsprechende Zugriffsberechtigungen (Authentifizierung) sowie eine Dokumentation der getätigten Aktionen wie Datenabruf oder Datenänderungen.
Dieser Thematik folgend entstehen neue Anforderungen an die bestehenden Sicherheitskonzepte.
- Hinzu kommen die gesetzlichen Vorgaben, die ebenfalls in das IT-Sicherheitskonzept mit integriert werden müssen.
- Die entsprechenden Gesetze werden von externen und internen Prüfern kontrolliert.
- Da keine Methoden definiert worden sind, um diese Ergebnisse zu erreichen, wurden hier für die jeweiligen Bereiche verschiedenen „Best Practice“-Methoden entwickelt, wie zum Beispiel ITIL, COBIT, ISO oder Basel II.
Hier gilt der Ansatz, ein Unternehmen so zu führen und zu kontrollieren, dass die relevanten und möglichen Risiken abgedeckt sind (IT-Governance).
- Grundlagen dafür sind sowohl die zwingenden Standards, also Gesetze (HGB, AO, GOB) und Fachgutachten (Sarbanes-Oxley Act, 8. EU-Audit-Richtlinie), als auch die unterstützenden Standards (Best Practice).
Die Risiken müssen identifiziert, analysiert und bewertet werden, um ein ganzheitliches Sicherheitskonzept aufbauen zu können.
- Dies beinhaltet nicht nur die eingesetzten Technologien, sondern auch konzeptionelle Aspekte wie Zuständigkeiten, Berechtigungen, Kontrollinstanzen oder Mindestanforderungen für bestimmte Sicherheitsmerkmale.
- So werden nun an die EDV besondere Anforderungen gestellt
- Verhinderung von Manipulationen
- Nachweis von Eingriffen
- Installation von Frühwarnsystemen
- Interne Kontrollsysteme
Dabei ist zu beachten, dass die Daten der Automation derart gespeichert werden, dass sie jederzeit lesbar, nachvollziehbar und konsistent sind.
- Dazu müssen diese Daten vor Manipulation und Löschung geschützt werden.
- Jegliche Änderung soll ein Versionsmanagement auslösen und die Reporte und Statistiken über die Prozesse und deren Änderungen müssen direkt zentral abrufbar sein.
Eine Abhilfe können hier hochentwickelte Automatisierungslösungen sein.
- Dadurch, dass weniger manuelle Eingriffe notwendig sind, werden potenzielle Gefahrenquellen ausgeschlossen.
- Die RZ-Automation umfasst somit folgende Gebiete:
- Risikofaktor Prozessablauf
- Risikofaktor Ressourcen
- Risikofaktor Technologie
- Risikofaktor Zeit
Öffentlichen Einrichtungen und Behörden
Im Bereich öffentliche Einrichtungen und Behörden sind die IT-Grundschutz-Kataloge des Bundesamtes für Sicherheit in der Informationstechnik (BSI) Standardwerke.