IT-Sicherheit – Alles im Griff?
Eine Übersicht von Dr. Heinrich Kersten und Dr: Gerhard Klett
Seit mehreren Jahrzehnten beschäftigen wir uns weltweit mit der IT-Sicherheit – oder moderner: der Informationssicherheit. Wer glaubt, dass wir deshalb „alles im Griff“ haben, irrt sich gewaltig.
Doch zuvor: Was verstehen wir unter Informationssicherheit? Definitionen dazu gibt es viele. Sie ähneln sich mehr oder minder stark, je nachdem, unter welcher Betrachtungsweise sie erstellt wurden. Eine knappe und prägnante Form ist folgende:
Für eine Organisation1 ist Informationssicherheit dann gegeben, wenn die realen Risiken der Informationsverarbeitung durch wirtschaftlich angemessene Maßnahmen auf ein akzeptables Maß beschränkt sind.
Diese Zielsetzung klingt zunächst einfach und erreichbar, wird aber in der Praxis dennoch meist zu einem „Dauerbrenner“: Mit jeder neuen Technologie, jeder neuen Anwendung stellt sich erneut die Frage nach der Informationssicherheit. Im Zuge sich beschleunigender Innovationszyklen bleibt aber immer weniger Zeit, hierauf ausreichende Antworten zu geben. Was sich über die Jahre ebenfalls geändert hat, ist der Kreis der Betroffenen: Waren es früher einzelne Firmen oder Behörden, die aufgrund ihres Geschäftes der Spionage durch Geheimdienste oder Wettbewerber ausgesetzt waren, so muss man heute feststellen, dass jede Organisation beliebiger Größe wie auch jede Privatperson mit ihren Daten in vielfältiger Weise gefährdet ist.
Im privaten Bereich verwendet man stationäre und mobile Geräte (PC, Netbooks, Smartphones, Pads) mit vielen Vernetzungsmöglichkeiten und nutzt Dienste im Internet wie Homebanking, Cloud Services, Bezahlfunktionen, soziale Netzwerke etc. Alle diese Anwendungen sind mit Risiken behaftet – von Datenverlusten über monetäre Schäden bis hin zur sozialen Diskriminierung und lang anhaltender Rufschädigung. Will man sich als Privatperson über diese Themen und mögliche Sicherheitsmaßnahmen informieren, sei auf die Seiten unter www.bsi-fuer-buerger.de hingewiesen, auf denen man eine Vielzahl von Hinweisen erhält, wie ein angemessenes Sicherheitsniveau für den privaten Bereich erreicht werden kann.
Wir möchten jedoch hier mehr den professionellen Bereich ansprechen und Hinweise zu klassischen und aktuellen Themen der Informationssicherheit für Organisationen (Firmen, Behörden) geben, die Informationen verwalten und bearbeiten und dazu in aller Regel IT betreiben oder betreiben lassen.
Begann früher jede Diskussion zu diesem Thema mit der Aufzählung der drei Risikokategorien „Verlust der Vertraulichkeit“, „Verlust der Integrität“ und „Verlust der Verfügbarkeit“, greift dies heute viel zu kurz: Weitere Gefahren manifestieren sich im Zusammenhang mit Forderungen nach rechtlicher Zurechenbarkeit (Authentizität) und rechtlicher Verbindlichkeit der Kommunikation, Missbrauchsschutz, Compliance, darunter Datenschutz (gemäß BDSG), Revisions-fähigkeit, Business Continuity u.v.m. Die Komplexität des Themas hat also enorm zugenommen.
Will man es vor diesem Hintergrund professionell angehen, sollte man sich an bekannten Standards orientieren und deren Vorgehensmodell anwenden. Unser Seite „Sicherheitsmanagement“ wird hierzu in Kürze weitere Informationen geben.
Gerade im Zusammenhang mit dem Verfügbarkeitsaspekt ist festzustellen, dass viele Organisationen nicht nur von der IT abhängen, sondern bei längeren Ausfällen Verlusten ausgesetzt sind, die bis in die Kategorie „existenzbedrohend“ reichen können. Die Kontinuität der Geschäftstätigkeit zu ermöglichen, ist Aufgabe des Business Continuity Managements (BCM); hier ist insbesondere ein geordnetes Notfallmanagement einzurichten. Zu diesem Thema werden Sie zukünftig weitere Informationen auf unserer Seite „Notfallmanagement“ erhalten.
Nun besteht Informationssicherheit nicht nur aus Management-Aspekten, sondern bedarf bei ihrer Realisierung einer Vielzahl konkreter Maßnahmen in den Bereichen Recht, Organisation, Personal, Infrastruktur und Technik.
Wir wollen uns dazu eines aktuellen Sicherheitsthemas annehmen, das sich mit den eingangs erwähnten mobilen Geräten befasst: Mobile Device Security. Mit dem Trend, die Trennung der privaten und der beruflichen Sphäre mehr und mehr aufzugeben bzw. aufzuheben und statt dessen den Mitarbeitern das Finden einer angemessenen „Work-Life Balance“ zu überlassen, findet eine zunehmende Vermischung privater und kommerzieller Datenverarbeitung statt, indem mobile Geräte wie Netbooks, Smartphones, Pads für beide Sphären gleichzeitig eingesetzt werden. Besonders dramatisch wird diese Vermischung, wenn Organisationen bei der Beschaffung der mobilen Endgeräte eine „BYOD“ (Bring Your Own Device)-Strategie wählen. Damit steigen die Risiken sowohl für die Nutzer (mögliche Aufhebung der Privatsphäre) wie auch für Organisationen, die im Grunde unsichere Geräte mit gespeicherten Passwörtern, Schlüsseln, Unternehmensdaten, etc. in die Unternehmensabläufe einbinden. Hinweise und Lösungsansätze zu dieser „heißen“ Thematik geben finden Sie in Kürze auf unserer Seite „Mobile Device Security“.
Hinweis: Auf diesen Seiten sollen in lockerer Reihenfolge weitere aktuelle IT-Sicherheitsthemen angesprochen werden. Die Redaktion ist für Kritik, Anregungen und Themenvorschläge offen.
[1] Unternehmen, Behörde etc.; analog gilt diese Definition auch für einzelne Geschäftsprozesse, IT-Anwendungen und IT-Systeme.